

















































Estude fácil! Tem muito documento disponível na Docsity
Ganhe pontos ajudando outros esrudantes ou compre um plano Premium
Prepare-se para as provas
Estude fácil! Tem muito documento disponível na Docsity
Prepare-se para as provas com trabalhos de outros alunos como você, aqui na Docsity
Encontra documentos específicos para os exames da tua universidade
Prepare-se com as videoaulas e exercícios resolvidos criados a partir da grade da sua Universidade
Responda perguntas de provas passadas e avalie sua preparação.
Ganhe pontos para baixar
Ganhe pontos ajudando outros esrudantes ou compre um plano Premium
Este documento discute um caso de um ataque man in the middle (mitm) em aplicações de realidade virtual (vr) usando um smartphone ou computador. Ele descreve o problema, as propostas para a execução do ataque e as ferramentas utilizadas, incluindo o google cardboard e o videoplace. Além disso, ele aborda a importância de boas práticas de segurança para reduzir as chances de um ataque suceder.
Tipologia: Esquemas
1 / 57
Esta página não é visível na pré-visualização
Não perca as partes importantes!


















































Ataque de Homem do Meio em Aplicações de Realidade Virtual
Daniel Quintana de Andrade Gabriel Castrillon Silva dos Santos
Orientador Sidney Lucena
Daniel Andrade
Agradeço, primeiramente a Deus, por ter me concedido a oportunidade de entrar na Universidade, por ter me acompanhado durante o meu curso e me abençoado com todo o conhecimento que obtive durante o curso.
Agradeço também a minha família, por ser meu suporte, meu apoio, a tudo que precisei, por não desistirem de mim, mesmo quando eu já pensava em desistir e por me cobrarem mais resultados o que me motivou a melhorar e a me formar.
Agradeço a minha namorada por ser meu apoio, principalmente, quando achava que havia me saído mal em alguma prova ou quando achava que iria reprovar em alguma matéria, sempre me fortalecendo e me dando esperança a continuar.
Agradeço aos meus colegas por estarem comigo durante esses mais de quatro anos, sofrendo comigo e se divertindo comigo, pois também foi graças a eles, que me ouviram quando precisava e por toda a ajuda que me deram. Mais que colegas, vou me lembrar deles para a vida toda.
Aos meus professores, muito obrigado por toda a paciência, a vontade que tiveram de me ensinar o necessário para me tornar um bom bacharel, eu só tenho a agradecer pois foram parte importante na minha formação profissional.
Gabriel Castrillon
Agradeço, antes de tudo, a Deus. Agradeço por ter me dado forças, por não deixar que
eu desanimasse durante esses 5 anos de faculdade.
Agradeço também aos meus pais. Eles foram fundamentais para meu êxito acadêmico.
Eles acreditaram em mim, me deram suporte nos momentos mais difíceis. Esse apoio
me levou a conseguir uma vaga numa das melhores faculdades do país.
Agradeço aos professores e colegas de curso, todos aqueles que me auxiliaram na caminhada, compartilhando seus conhecimentos.
Agradeço ao meu chefe por ser compreensivo, permitindo que em certos momentos eu pudesse priorizar a faculdade, especialmente durante a execução deste trabalho.
Também é válido agradecer a todos os colegas da área de T.I. que nos auxiliam em fóruns ao redor da internet.
The Virtual Reality, known as “VR”, is not a new technology, but it has been in evidence for the last years. Companies like Google, Microsoft and Sony have made big investments in research about VR, standing out this subject in technological sectors. Every time a tool or technology becomes widespread and starts to build a user base, hackers search for ways to explore possible vulnerabilities in the systems, aiming for personal or political gain, or just for fun. The Internet of Things (IoT) has widened the field of bad willed people have to act and VR is now a new option for them. It is also very important to emphasize the value of information security. After attacks like WannaCry in 2017, this kind of topic has gained traction, therefore drawing attention to the matter, all over the world. The objective of this work is, so, to demonstrate potential security fragilities on a VR application. In particular, it will be shown how to intercept the content to be displayed on the app's screen using a Man in the Middle type of attack, and thus change the images that will be shown to users.
Keywords: Virtual reality, Vulnerability, Information Security, Man in The Middle Attack.
API - Application Programming Interface AR - Augmented Reality ARP - Address Resolution Protocol DNS - Domain Name System GUI - Graphical User Interface MAC - Media Access Control MITM - Man In The Middle SSL - Secure Sockets Layer TLS - Transport Layer Security VM - Virtual Machine VR - Virtual Reality OS - Operational System URL - Uniform Resource Locator IP - Internet Protocol
sem as devidas providências. Em muitos momentos pode ser benéfica, porém, se houver falhas de segurança, pode ser prejudicial. Portanto, decidimos mostrar que deve existir uma forte segurança para evitar que, tanto usuários como responsáveis pelas aplicações, tenham que lidar com consequências a partir de uma falha.
Por hipótese, podemos utilizar como exemplo o jogo de realidade virtual aumentada Pokemon GO. Restaurantes, cafés e pequenos varejistas o utilizam para atrair clientes, propagando-se como PokeStops (lugar onde os jogadores podem pegar novos itens e aumentar o seu nível de poder dentro do aplicativo), ou utilizando recursos do aplicativo que atraem Pokémons para atrair jogadores ao estabelecimento [2]. Nessa hipótese, a exploração de uma falha de segurança poderia modificar a localização para outro estabelecimento, e o estabelecimento original ficaria prejudicado.
1.2 Objetivo
O objetivo do trabalho é demonstrar, por meio de experimentos, o quão importante é a segurança em aplicações de realidade virtual. Este trabalho propõe demonstrar essa premissa das seguintes maneiras: apontando as falhas dos protocolos, explicando maneiras de explorá-las e expondo os resultados obtidos. Também é um dos objetivos sugerir possíveis soluções para os problemas que serão citados.
1.3 Metodologia
A metodologia adotada pode ser dividida em quatro tópicos:
1.4 Estrutura do Texto
Este trabalho está organizado da seguinte forma:
2.2 Tipos de Sistemas de Realidade Virtual
A VR de Simulação representa o tipo mais antigo de sistema de VR porque se originou com os simuladores de voo desenvolvidos pelos militares americanos depois da Segunda Guerra Mundial [7]. Um sistema de VR de Simulação basicamente imita o interior de um carro, avião ou jato, colocando o participante dentro de uma cabine com controles. Dentro dessa cabine, telas de vídeo e monitores apresentam um mundo virtual que reage aos comandos do usuário. Uma vez que o sistema de VR de Simulação não processa imagens em estéreo, as imagens aparecem de forma bastante rápida [8]. Em alguns sistemas as cabines são montadas sobre plataformas móveis [8], além de dispor de controles com feedback tátil e auditivo [8]. Um sistema de realidade virtual de simulação chamado de Cockpit BR [9], criado por brasileiros na Campus Party de 2012, pode ser visto na Figura 1.
Figura 1 : Simulador de cockpits - fonte: Tecmundo (2012), disponível em <https://www.tecmundo.com.br/campus-party-brasil-2012/19138-project-cockpit-b r-um-simulador-de-voo-incrivel-e-100-nacional.htm>
Jacobson [10], em 1994, diz que a Realidade Artificial de Projeção foi criada na década de 70 por Myron Krueger, caracterizando-a pelo fato do usuário estar fora do mundo virtual, mas podendo se comunicar com personagens ou objetos dentro dele. Krueger, nesta mesma época, cria um Sistema de VR de Projeção, ao qual denominou Videoplace (sala ou lugar de Projeção), que capturava imagens de um ou mais usuários e as projetava numa grande tela que representava um mundo virtual, onde era possível a interação desses usuários uns com os outros ou com objetos. O termo Realidade Virtual de Projeção, criado por Krueger, fora simplesmente para descrever o tipo de ambiente criado pelo seu sistema, que poderia ser utilizado sem a necessidade do participante usar dispositivos de entrada de dados, afirma Jacobson. Apesar de visto em um filme, um exemplo atual de realidade virtual de projeção pode ser visto no filme Iron Man (Figura 2) , onde o personagem principal interage com uma projeção de armadura.
Figura 3: Realidade virtual aumentada - fonte: Slashgear (2017), disponível em <https://www.slashgear.com/pokemon-go-ar-plus-apple-arkit-augmented-reality-g ame-update-20512429/>
2.3 Protocolos e Segurança
Sabemos que seguir boas práticas de segurança é muito importante para reduzir ao máximo as chances de um ataque lograr êxito. No lado do servidor, recomenda-se a utilização de criptografia. Do ponto de vista do usuário, recomenda-se cuidado com quais tipos de aplicações e sites são utilizados. Nesta seção vamos abordar os protocolos envolvidos no experimento que será explicado no Capítulo 4, assim como suas falhas e maneiras de explorá-las.
2.3.1 Protocolos
É um protocolo utilizado no nível da aplicação. Ele permite a transferência de dados entre redes de computadores, browsers e servidores pela World Wide Web. Os usos mais comuns desse protocolo são para transferências de páginas HTML, onde cada URL utiliza o prefixo “http://”, e também para requisições web, disponíveis a diversos tipos de dispositivos. A versão mais utilizada deste protocolo é a 1.1.