Wykorzystają błąd i ukradną pieniądze

Miller i Zovi mają doświadczenia ze błędami w produktach Apple. Miller opublikował jako pierwszy błąd w iPhone niedługo po jego wydaniu. Na poprzedniej konferencji bezpieczeństwa CanSecWest Zovi wykorzystał lukę QuickTime by wygrać "PWN " w konkursie łamania zabezpieczeń Macka. Kiedy Second Life nie wykorzystuje QuickTime, to proponuje użytkownikowi jego zainstalowania aby mógł on oglądać pliki multimedialne.

Luka odkryta przez Miller'a i Zovicia umożliwia wymianę danych pomiędzy napastnikiem a ofiarą za pośrednictwem serwerów Linden Labs, natomiast obiekty multimedialne są zgromadzone gdzie indziej. Odtąd obiekty te mogą wykorzystywać linki multimedialne do rozprzestrzeniania złośliwego kodu. W tym przypadku wykorzystano niedawno odkrytą lukę w RTSP.

Dla swojej demonstracji stworzyli "najgorsze różowe pudło jakie kiedykolwiek widzieliście". Mogli dzięki niemu włączyć swój złośliwy kod do cech włosów awatara, jego ubrania lub czegokolwiek innego. Mogliby również zakopać różowe pudło lub inaczej schować je, ale przyznali się, że nie są zbyt dobrymi graczami w Second Life. Linden Labs wysłał reprezentanta na konferencje oraz robota do wirtualnego miejsca demonstracji. Robot otrzymał polecenie przywitać się z uczestnikami ShmooCon oglądającymi pokaz na żywo.

W demie odkrywcy luki byli w stanie pokazać, że ich awatar uległ zakażeniu kiedy przeszedł zbyt blisko różowego pudła. Kod, którego użyli zaatakował Linden dollars należące do awatara i opróżnił konto bankowe. W internecie napastnik może dostać jednego dolara za każdych 275 ukradzionych dolarów Lindeńskich, więc jest finansowa motywacja do tych ataków i innych przyszłych napaści. Atak pokazał jak niebezpieczna może być ta luka.

Aby ochronić się kiedy jesteśmy w Second Life pracownicy naukowi sugerowali jedno z dwóch rozwiązań albo zupełnie zrezygnować z multimediów, albo ustawić preferencję multimediów tak, aby w Second Life nie uruchamiały się one automatycznie, ale dopiero po wyrażeniu zgody przez użytkownika.