Die aktuelle Diskussion um möglichen Taschendiebstahl in Second Life wirft dir Frage auf, ob virtuelle Welten die gleichen Sicherheitsstandards wie Banken bzw. Online-Bankanwendungen erfüllen müssen (- ich komme später in diesem Artikel auf die Frage zurück).

Ausgangspunkt der Diskussion ist eine schon seit einigen Wochen bekannte Sicherheitslücke im Apple QuickTime die von den bekannten Hackern Miller und Zovi (hat im Sommer nach wochenlanger Arbeit als erster das iPhone gehacked) genauer untersucht wurde. Die beiden habe eine Möglichkeit gefunden auf eine beliebige Website zuzugreifen, während auf einem PC ein Video über QuickTime angeschaut wird (technische Details und ein bischen Eigenwerbung gibt es bei Symantec - hier).

Um zu demonstrieren welche Möglichkeiten sich hierdurch für den Hacker bieten haben Sie einen Hacker-Bot für Second Life erstellt. Dieser geht auf einen Avatar zu, “zeigt” diesem ein nicht sichtbares Video wodurch vom SL-Client des Avatars aus eine Verbindung zu einer Website eröffent wird. Über diese Website wird dann der Avatar ferngesteuert und löst einen Zahlvorgang zu Gunsten des Hacker-Bots aus. Dies alles erfolgt ohne Interaktion mit dem SL-Avatar-User! Zwar haben die meisten Avatare wenig Linden-Dollar “in der Tasche” aber erschreckend finde ich das schon.

Eine ausführlichere Beschreibung findet ihr im Artikel “Second Life pickpockets threaten real world cash potentialkel” von Mercury News, San Jose. Anbei das Fazit des Artikels:

“Miller notes that in the real world of computers, consumers know risks are associated with visiting Web sites or reading e-mails and clicking on files attached to them. In the virtual world, by contrast, he says consumers may not know that their characters easily can be a pickpocket’s victim. To protect themselves, players can turn off the “play streaming video when available” feature by unclicking a button in the edit preferences menu of the Second Life software.

Clearly, Miller and Dai Zovi have shown that it’s time to improve the security of virtual worlds and sort out the issues of who owns what in cyberspace, before we start trading around massive amounts of money in these worlds of fantasy.”

(Auszug aus Mercury News, San Jose, MercuryNews.com, Dean Takahashi vom 01.12.2007)

Zurecht hat Linden den Artikel sofort Kommentiert darauf hingewiesen, dass es sich um ein Apple Problem handelt welchem am Beispiel Second Life demonstriert wurde.  Von der Sicherheitslücke in alle QuickTime-Anwender betroffen, nicht nur die die in Second Life und anderen virtuellen Welten (mit QT-Integration).

“I want to reiterate that this is an Apple QuickTime issue…” (Joe Miller, VP, Linden Lab, San Francisco, CA)

Zurück zur Ausgangsfrage, müssen virtuellen Welten so sicher wie Banken sein? Die meisten virtuellen Welten verfügben über eine eigene Spielwährung die in reales Geld umgetauscht werden kann. Darüber hinaus verwalten virtuelle Welten das private “Vermögen” der Anwender. Insofern nehmen m.E. virtuelle Welten zumindest in einigen Bereichen die Aufgabe einer Bank war, sie geben Geld aus und verwalten Konten im Auftrag ihrer Kunden. Also müssen auch die Systeme virtueller Banken so sicher wie bei Banken sein - oder denkt jemand anders darüber?

By the way - mit dem Argument, dass es bei SL-usern nicht viel zu stehlen gibt, da sie im Durchschnittlich nur 3,70$ auf dem Anwenderkonto haben, lässt sich die Diskussion nicht beenden. Schaut man sich die Bedeutung von Spielwährungen insbesondere im Asiatischen Raum und in Korea an, wird klar, dass Zahlungs- und Kontenverwaltungssysteme sicher sein müssen. Oder glauben Sie, dass die Deutsche Bank den Diebstahl von Kundengeldern durch einen Softwarefehler im Bankautomaten einer Fremdfirma erklären könnte und ihr danach noch jemand vertrauen würde?

Dieser Eintrag wurde am Montag, den 3. Dezember 2007 um 19:33 Uhr in der Kategorie Business, Second Life veröffentlicht. Antworten auf diesen Beitrag können Sie über den RSS 2.0 Feed verfolgen. Sie können einen Kommentar schreiben oder einen Trackback setzen.