Badacze odkryli, że „ataki inicjujące” na gogle Meta VR mogą uwięzić użytkowników w fałszywym środowisku rzeczywistości wirtualnej

• Nowe badanie ujawniło, że badacze odkryli potencjalną lukę w zabezpieczeniach gogli VR firmy Meta.

• Tak zwany „atak podstawowy” umożliwia osobie atakującej szpiegowanie i kontrolowanie środowiska rzeczywistości wirtualnej użytkownika.

• Tylko jedna trzecia uczestników badania zauważyła usterkę, gdy ich sesja została zhakowana.

Badacze odkryli potencjalnie poważną lukę w zabezpieczeniach oprogramowania Zestawy słuchawkowe do wirtualnej rzeczywistości Meta– wynika z nowego badania.

Zespół badaczy z Uniwersytetu w Chicago stwierdził, że odkrył sposób na zhakowanie zestawów słuchawkowych Meta Quest bez wiedzy użytkownika, co pozwala mu kontrolować środowisko wirtualnej rzeczywistości użytkownika, kraść informacje, a nawet manipulować interakcjami między użytkownikami.

Badacze nazwali tę strategię „atakem inicjującym”, który zdefiniowali jako „atak kontrolowany przez osobę atakującą, manipulujący interakcją użytkownika z urządzeniem”. Środowisko rzeczywistości wirtualnej„Poprzez uwięzienie użytkownika w pojedynczej złośliwej aplikacji VR, która udaje kompletny system VR”.

Badanie przychodzi jako Dyrektor generalny Meta Mark Zuckerberg kontynuować Zrzuć na Apple Vision Pro, jego największy konkurent w kosmosie. W zeszłym tygodniu Zuckerberg powiedział, że zestaw słuchawkowy Apple do wirtualnej rzeczywistości jest „gorszy pod wieloma względami”.

the Zostańo czym jako pierwszy poinformował Przegląd technologii MITnie został jeszcze poddany recenzji.

Z badania wynika, że ​​aby przeprowadzić atak, hakerzy musieli być podłączeni do tej samej sieci Wi-Fi co użytkownik Questa. Zestaw słuchawkowy musi także znajdować się w trybie programisty, co często powtarzali badacze Meta Quest Użytkownicy mogą nadal pobierać aplikacje innych firm, dostosowywać rozdzielczość i robić zrzuty ekranu.

Stamtąd badaczom udało się umieścić na słuchawkach złośliwe oprogramowanie, co umożliwiło im zainstalowanie fałszywego ekranu głównego, który wyglądał identycznie jak oryginalny ekran użytkownika, ale który badacze mogli kontrolować.

Ten zduplikowany ekran główny jest w zasadzie symulacją w symulacji.

„Chociaż użytkownik wierzy, że normalnie wchodzi w interakcję z różnymi aplikacjami VR, w rzeczywistości wchodzi w interakcję w symulowanym świecie, w którym wszystko, co widzi i słyszy, jest przechwytywane, przesyłane i prawdopodobnie zmieniane przez atakującego” – napisali naukowcy w badaniu. .

Naukowcy stworzyli sklonowane wersje aplikacji Meta Quest Browser i aplikacji VRChat. Po uruchomieniu repliki aplikacji przeglądarki badacze mogli szpiegować użytkowników logujących się na poufne konta, takie jak konto bankowe lub poczta e-mail.

Potrafili nie tylko zobaczyć, co robi użytkownik, ale także manipulować tym, co on widział.

Badacze opisali na przykład sytuację, w której użytkownik przesyła pieniądze. Gdy użytkownik próbuje przekazać komuś 1 dolara, osoba atakująca może zmienić tę kwotę na 5 dolarów na zapleczu. Tymczasem użytkownikowi nadal wyświetla się jako 1 USD, także na ekranie potwierdzenia, więc użytkownik nie jest świadomy tego, co się stało.

Aby przetestować proces początkowego ataku na prawdziwych ludziach, badacze poprosili 27 uczestników badania o interakcję z nimi Zestawy słuchawkowe do wirtualnej rzeczywistości Podczas gdy oni atakowali. Z badania wynika, że ​​tylko jedna trzecia użytkowników zauważyła tę lukę po przejęciu ich sesji, a wszyscy oprócz jednego przypisywali ją normalnemu problemowi z wydajnością.

Meta nie odpowiedziała natychmiast na prośbę Business Insider o komentarz, ale rzecznik MIT Technology Review powiedział, że dokona przeglądu badania, dodając: „Nieustannie współpracujemy z badaczami akademickimi w ramach naszego programu nagród za błędy i innych inicjatyw”.

Przeczytaj oryginalny artykuł na temat Interesuje się handlem