- Nowe badanie pokazuje, że badacze odkryli potencjalną lukę w zabezpieczeniach gogli VR firmy Meta.
- Tak zwany „atak podstawowy” umożliwia osobie atakującej szpiegowanie i kontrolowanie środowiska rzeczywistości wirtualnej użytkownika.
- Tylko jedna trzecia uczestników badania zauważyła usterkę, gdy ich sesja została zhakowana.
Z nowego badania wynika, że naukowcy odkryli potencjalnie poważną lukę w zabezpieczeniach zestawów słuchawkowych do rzeczywistości wirtualnej Meta.
Zespół badaczy z Uniwersytetu w Chicago stwierdził, że odkrył sposób na zhakowanie zestawów słuchawkowych Meta Quest bez wiedzy użytkownika, co pozwala mu kontrolować środowisko wirtualnej rzeczywistości użytkownika, kraść informacje, a nawet manipulować interakcjami między użytkownikami.
Badacze nazwali tę strategię „atakiem wstępnym”, który zdefiniowali jako „atak kontrolowany przez osobę atakującą, manipulujący interakcją użytkownika ze środowiskiem VR poprzez uwięzienie użytkownika w pojedynczej złośliwej aplikacji VR udającej pełny system VR”.
Badanie to ma miejsce w czasie, gdy dyrektor generalny Meta Mark Zuckerberg w dalszym ciągu porzuca Apple Vision Pro, swojego największego konkurenta w tej dziedzinie. W zeszłym tygodniu Zuckerberg powiedział, że zestaw słuchawkowy Apple do wirtualnej rzeczywistości jest „gorszy pod wieloma względami”.
the Zostańo czym jako pierwszy poinformował Przegląd technologii MITnie został jeszcze poddany recenzji.
Z badania wynika, że aby przeprowadzić atak, hakerzy musieli być podłączeni do tej samej sieci Wi-Fi co użytkownik Questa. Zestaw słuchawkowy musi także znajdować się w trybie programisty, co według badaczy wielu użytkowników Meta Quest ma włączone, aby pobierać aplikacje innych firm, dostosowywać rozdzielczość i robić zrzuty ekranu.
Stamtąd badaczom udało się umieścić na słuchawkach złośliwe oprogramowanie, co umożliwiło im zainstalowanie fałszywego ekranu głównego, który wyglądał identycznie jak oryginalny ekran użytkownika, ale który badacze mogli kontrolować.
Ten zduplikowany ekran główny jest w zasadzie symulacją w symulacji.
„Chociaż użytkownik wierzy, że normalnie wchodzi w interakcję z różnymi aplikacjami VR, w rzeczywistości wchodzi w interakcję w symulowanym świecie, w którym wszystko, co widzi i słyszy, jest przechwytywane, przesyłane i prawdopodobnie zmieniane przez atakującego” – napisali naukowcy w badaniu. .
Naukowcy stworzyli sklonowane wersje aplikacji Meta Quest Browser i aplikacji VRChat. Po uruchomieniu repliki aplikacji przeglądarki badacze mogli szpiegować użytkowników logujących się na poufne konta, takie jak konto bankowe lub poczta e-mail.
Potrafili nie tylko zobaczyć, co robi użytkownik, ale także manipulować tym, co on widział.
Badacze opisali na przykład sytuację, w której użytkownik przesyła pieniądze. Gdy użytkownik próbuje przekazać komuś 1 dolara, osoba atakująca może zmienić tę kwotę na 5 dolarów na zapleczu. Tymczasem użytkownikowi nadal wyświetla się jako 1 USD, także na ekranie potwierdzenia, więc użytkownik nie jest świadomy tego, co się stało.
Aby przetestować początkowy proces ataku na prawdziwych ludziach, badacze poprosili 27 uczestników badania o interakcję z zestawami słuchawkowymi rzeczywistości wirtualnej podczas przeprowadzania ataku. Z badania wynika, że tylko jedna trzecia użytkowników zauważyła tę lukę po przejęciu ich sesji, a wszyscy oprócz jednego przypisywali ją normalnemu problemowi z wydajnością.
Meta nie odpowiedziała natychmiast na prośbę Business Insider o komentarz, ale rzecznik MIT Technology Review powiedział, że dokona przeglądu badania, dodając: „Nieustannie współpracujemy z badaczami akademickimi w ramach naszego programu nagród za błędy i innych inicjatyw”.
