Tasche vuote su Second Life. È questo il consiglio spassionato di due esperti di web-security, Dino Dai Zovi e Charlie Miller, autori di una scoperta interessante: grazie ad una falla emersa la scorsa settimana nel codice di QuickTime, un avatar a passeggio per il metamondo potrebbe essere ripulito dei linden dollars che porta con sé.
L’exploit è piuttosto insidioso . Dentro Second Life è possibile integrare video nella struttura di abitazioni e gadget realizzati dagli utenti: i filmati vengono riprodotti attraverso QuickTime e, per essere caricati, il programma rimanda ad un sito remoto diverso dai server di Linden Labs. Se il sito remoto è realizzato in modo tale da sfruttare la vulnerabilità del player multimediale Apple, l’attaccante può prendere il controllo dell’intero computer della vittima o, più semplicemente, del suo avatar.
Per attivare la trappola, non occorre fare altro che andarsene a spasso per Second Life: qualunque oggetto potrebbe nascondere l’insidioso trucchetto , e basta soltanto avvicinarvisi per far partire il filmato e finire tra le grinfie dei malintenzionati. Per mostrare il problema, i due scopritori hanno realizzato uno script di esempio e un piccolo video.
La vittima, l’avatar chiamato Sussy McBride, si limita a camminare nelle vicinanze di un cubetto viola: improvvisamente si blocca e 12 linden dollar finiscono nelle tasche del cattivone, in questo caso l’avatar chiamato Pwned Naglo. A Sussy non resta altro da fare che urlare “sono stata hackata”, e rimpiangere di non aver disattivato l’esecuzione automatica dei filmati nel pannello preferenze dell’interfaccia di Second Life.
Linden Labs è stata già informata del problema, ma fino a quando non sarà stata tappata la falla su QuickTime non c’è molto che possa fare. Il consiglio è dunque quello di non portarsi dietro molto contante mentre si passeggia nel mondo virtuale: i creatori di Second Life non risponderanno di furti e borseggi.
Luca Annunziata