- Nová studie odhalila, že výzkumníci odhalili potenciální bezpečnostní zranitelnost v náhlavní soupravě Meta pro VR.
- Takzvaný „priming attack“ umožňuje útočníkovi špehovat a ovládat prostředí virtuální reality uživatele.
- Pouze třetina účastníků studie si všimla závady, když byla jejich relace hacknuta.
Podle nové studie výzkumníci odhalili potenciálně velkou bezpečnostní chybu v náhlavních soupravách Meta pro virtuální realitu.
Tým výzkumníků z University of Chicago uvedl, že objevil způsob, jak hacknout sluchátka Meta Quest bez vědomí uživatele, což jim umožňuje ovládat prostředí virtuální reality uživatele, krást informace a dokonce manipulovat s interakcemi mezi uživateli.
Výzkumníci tuto strategii nazvali „priming attack“, který definovali jako „útok řízený útočníkem, který manipuluje interakci uživatele s prostředím VR tím, že uživatele uvězní v jediné škodlivé aplikaci VR, která se vydává za celý systém VR“.
Tato studie přichází v době, kdy CEO společnosti Meta Mark Zuckerberg pokračuje ve vyhazování Apple Vision Pro, jeho největšího konkurenta v této oblasti. Minulý týden Zuckerberg řekl, že náhlavní souprava pro virtuální realitu od Applu byla „ve většině ohledů horší“.
a Stayo kterém jako první informoval MIT Technology Reviewdosud nebyla recenzována.
Aby bylo možné útok provést, museli být hackeři podle studie připojeni ke stejné WiFi síti jako uživatel Questu. Náhlavní souprava musí být také ve vývojářském režimu, o kterém vědci uvedli, že mnoho uživatelů Meta Quest má povoleno získávat aplikace třetích stran, upravovat rozlišení a pořizovat snímky obrazovky.
Odtud byli vědci schopni do sluchátek zasadit malware, což jim umožnilo nainstalovat falešnou domovskou obrazovku, která vypadala identicky s původní obrazovkou uživatele, ale kterou mohli výzkumníci ovládat.
Tato duplicitní domovská obrazovka je v podstatě simulací v rámci simulace.
„Zatímco uživatel věří, že normálně komunikuje s různými aplikacemi VR, ve skutečnosti interaguje v simulovaném světě, kde je vše, co vidí a slyší, zachyceno, přenášeno a případně pozměněno útočníkem,“ napsali vědci ve studii. .
Výzkumníci vytvořili klonované verze aplikace Meta Quest Browser a aplikace VRCat. Jakmile byla spuštěna replika aplikace prohlížeče, vědci byli schopni špehovat uživatele, když se přihlašovali k citlivým účtům, jako je jejich banka nebo e-mail.
Byli schopni nejen vidět, co uživatel dělá, ale také manipulovat s tím, co uživatel vidí.
Vědci například popsali situaci, kdy uživatel převádí peníze. Zatímco se uživatel snaží někomu převést $1, útočník může na backendu změnit částku na $5. Mezitím se uživateli stále zobrazuje jako 1 $, a to i na potvrzovací obrazovce, takže uživatel neví, co se stalo.
Aby vědci otestovali počáteční proces útoku se skutečnými lidmi, požádali 27 účastníků studie, aby při provádění útoku interagovali s náhlavními soupravami pro virtuální realitu. Studie uvedla, že pouze třetina uživatelů si všimla chyby, když byla jejich relace unesena, a všichni kromě jednoho to připisovali běžnému problému s výkonem.
Meta okamžitě nereagovala na žádost o komentář od Business Insider, ale mluvčí MIT Technology Review řekl, že studii přezkoumá, a dodal: „Neustále spolupracujeme s akademickými výzkumníky v rámci našeho programu odměn za chyby a dalších iniciativ.“
„Obhájce Twitteru. Zombie fanatik. Hudební fanoušek. Milovník cestování. Webový expert. Pivní guru. Kávový fanatik.“
