今天我谈论的是一个虚拟世界里的网络安全问题，有人说过，VR应用是继互联网之后的另一个新时代。不过，就目前而言，虚拟世界也免不了互联网世界里的攻击灾难。比如，黑客通过插入虚拟泄漏，让不安全的VR应用程序盗窃用户数据。

其实，以前我也谈论过虚拟、增强以及混合现实里可能出现的安全问题，不过没有找到实证。但现在可以肯定的是，我在一个VR色情应用SinVR中发现了第一个潜在的重大VR应用程序安全漏洞，目前大约有两万人的用户数据遭到泄露。

SinVR漏洞介绍

目前，VR色情应用SinVR的安全漏洞问题现已被修复，据SinVR母公司InVR Inc透露，目前这个漏洞已经被修复，公司也已经从中吸取了教训。

色情应用经常被恶意软件攻击，所以，如果你喜欢手机上的色情内容，或者是VR色情迷，那么请务必确认设备的安全。

SinVR是专为用户提供“私人地牢”的色情VR游戏。英国安全公司Digital Disruption在SinVR应用中发现了一个高危漏洞，有高达两万名的用户隐私被泄露在网上。黑客可以使用公开的SinVR账户，进一步发掘用户的真实姓名、电子邮件地址和设备名称，以及使用PayPal的交易信息。

Digital Disruption表示：

黑客不仅可以利用这个漏洞来执行社交工程攻击，而且由于应用属于色情性质，一些用户甚至可能因这些泄露的信息被勒索。

据SinVR母公司InVR Inc透露，目前这个漏洞已经被修复，公司也已经从中吸取了教训。

SinVR的一位发言人表示：

在Digital Disruption公布这个漏洞之后，我们就立即解决了问题。为让此漏洞真正被利用，目前我们已与Digital Disruption联系，确认这个漏洞已经被关闭了。

漏洞的发现过程

Digital Disruption是在逆向SinVR应用程序时，发现他们可以对端点进行未经验证的调用，这要感谢一个看起来好像允许SinVR下载所有用户列表的函数。虽然他们不得不通过应用程序修改二进制文件，但虚拟设备完全不会对测试者进行端点调用的验证。

漏洞的出现是必然的

如果我们回想一下索尼手游开始流行时，所发生的那些攻击事件。当时随着手游的出现和流行，游戏公司就成了黑客的攻击目标，包括硬件攻击，窃取数据库，篡改游戏服务器以及其他各种恶意行为。当时，由于手游也是新出现的事物，所以，很显然，许多游戏公司还没有考虑到安全防护这一层。不过，随着手游的普及，安全性也很快跟上了。

然而，虚拟现实技术是一个崭新的世界，有许多新的VR公司可能在几年前就是做游戏的。这很容易理解，因为VR的主要应用场景之一就是让用户有更真实的游戏感受。虽然VR在影视和广告领域的发展前景也很大，但很明显用户数的增长速度非常慢。

另外，虚拟现实开发的门槛一直在降低，在网上可以找到价格合理的“DIY”工具包，让任何人都可以开始编码VR游戏。对于这些开发者来说，将游戏的利益最大化才是最终目标，至于游戏和数据库的安全，谁会在意？

SinVR漏洞很可能是VR安全的冰山一角，但它却证明了新世界依然需要参考一下旧世界的秩序。不过幸运的是，此次漏洞还好是安全公司处于研究的需要发现的，并没有造成什么实际威胁。