Wykorzystają błąd i ukradną pieniądze
Pracownicy naukowi Charlie Miller i Dino Dai Zovi zawrócili uwagę na "Second Life" podczas prezentacji w ShmooCon - konferencja na temat bezpieczeństwa komputerów. Nie znaleźli oni błędu w Second Life, ale w QuickTime. Pokazali jak potencjalny napastnik mógłby okraść graczy.
Luka odkryta przez Miller'a i Zovicia umożliwia wymianę danych pomiędzy napastnikiem a ofiarą za pośrednictwem serwerów Linden Labs, natomiast obiekty multimedialne są zgromadzone gdzie indziej. Odtąd obiekty te mogą wykorzystywać linki multimedialne do rozprzestrzeniania złośliwego kodu. W tym przypadku wykorzystano niedawno odkrytą lukę w RTSP.
Dla swojej demonstracji stworzyli "najgorsze różowe pudło jakie kiedykolwiek widzieliście". Mogli dzięki niemu włączyć swój złośliwy kod do cech włosów awatara, jego ubrania lub czegokolwiek innego. Mogliby również zakopać różowe pudło lub inaczej schować je, ale przyznali się, że nie są zbyt dobrymi graczami w Second Life. Linden Labs wysłał reprezentanta na konferencje oraz robota do wirtualnego miejsca demonstracji. Robot otrzymał polecenie przywitać się z uczestnikami ShmooCon oglądającymi pokaz na żywo.
W demie odkrywcy luki byli w stanie pokazać, że ich awatar uległ zakażeniu kiedy przeszedł zbyt blisko różowego pudła. Kod, którego użyli zaatakował Linden dollars należące do awatara i opróżnił konto bankowe. W internecie napastnik może dostać jednego dolara za każdych 275 ukradzionych dolarów Lindeńskich, więc jest finansowa motywacja do tych ataków i innych przyszłych napaści. Atak pokazał jak niebezpieczna może być ta luka.
Aby ochronić się kiedy jesteśmy w Second Life pracownicy naukowi sugerowali jedno z dwóch rozwiązań albo zupełnie zrezygnować z multimediów, albo ustawić preferencję multimediów tak, aby w Second Life nie uruchamiały się one automatycznie, ale dopiero po wyrażeniu zgody przez użytkownika.
