Zestawy Meta VR mogą uwięzić użytkowników w fałszywym środowisku: badania

• Z nowego badania wynika, że ​​naukowcy odkryli potencjalną lukę w zabezpieczeniach gogli VR firmy Meta.
• Tak zwany „atak incepcyjny” umożliwia osobie atakującej szpiegowanie i kontrolowanie środowiska VR użytkownika.
• Tylko jedna trzecia uczestników badania zauważyła błąd, gdy ich sesja została przejęta.

Z nowego badania wynika, że ​​naukowcy odkryli potencjalnie poważną lukę w zabezpieczeniach zestawów słuchawkowych do rzeczywistości wirtualnej Meta.

Zespół badaczy z Uniwersytetu w Chicago znalazł sposób na włamanie się do zestawów słuchawkowych Meta Quest bez wiedzy użytkownika, umożliwiając mu kontrolowanie środowiska VR użytkownika, kradzież informacji, a nawet manipulowanie interakcjami między użytkownikami.

Badacze nazwali tę strategię „atakiem początkowym”, który zdefiniowali jako „atak, w którym osoba atakująca kontroluje interakcję użytkownika ze środowiskiem VR i manipuluje nią, zatrzymując go w pojedynczej, złośliwej aplikacji VR udającej pełny system VR”.

Badanie ma miejsce w czasie, gdy dyrektor generalny Meta Mark Zuckerberg nadal stawia na Apple Vision Pro, swojego największego konkurenta na rynku. W zeszłym tygodniu Zuckerberg powiedział, że gogle VR firmy Apple są „gorsze pod wieloma względami”.

The badanieo czym poinformowano po raz pierwszy Przegląd technologii MITnie został jeszcze poddany recenzji.

Z badania wynika, że ​​aby przeprowadzić atak, hakerzy musieli być podłączeni do tej samej sieci Wi-Fi, co użytkownik Questa. Zestaw słuchawkowy musiał także znajdować się w trybie programisty, który według badaczy wielu użytkowników Meta Quest pozostawia włączony, aby uzyskać dostęp do aplikacji innych firm, dostosować rozdzielczość i robić zrzuty ekranu.

Stamtąd badacze byli w stanie wstrzyknąć do zestawu słuchawkowego złośliwe oprogramowanie, instalując fałszywy ekran główny, który wyglądał dokładnie tak, jak oryginalny ekran użytkownika, ale który mógł być kontrolowany przez badaczy.

Ten podwójny ekran powitalny jest zasadniczo symulacją w symulacji.

„Chociaż użytkownik myśli, że normalnie wchodzi w interakcję z różnymi aplikacjami VR, w rzeczywistości wchodzi w interakcję w symulowanym świecie, w którym wszystko, co widzi i słyszy, zostało przechwycone, przekazane dalej i prawdopodobnie zmienione przez osobę atakującą” – napisali naukowcy w badaniu.

Badacze stworzyli sklonowane wersje przeglądarki Meta Quest i aplikacji VRChat. Po uruchomieniu repliki aplikacji przeglądarki badacze mogli szpiegować użytkowników logujących się na poufne konta, takie jak konto bankowe lub konto e-mail.

Mogli nie tylko zobaczyć, co robi użytkownik, ale także manipulować tym, co widział użytkownik.

Badacze opisali na przykład sytuację, w której użytkownik przesyła pieniądze. Gdy użytkownik próbuje przekazać komuś 1 dolara, osoba atakująca może zmienić tę kwotę na 5 dolarów na zapleczu. Tymczasem użytkownikowi nadal wyświetla się 1 USD, nawet na ekranie potwierdzenia, więc użytkownik nie wie, co się stało.

Aby przetestować początkowy proces ataku na prawdziwych ludziach, badacze poprosili 27 uczestników badania o interakcję z goglami VR podczas przeprowadzania ataku. Według badania tylko jedna trzecia użytkowników zauważyła błąd w momencie przejęcia sesji, a wszyscy oprócz jednego przypisywali go normalnym problemom z wydajnością.

Meta nie odpowiedziała natychmiast na prośbę Business Insider o komentarz, ale rzecznik powiedział MIT Technology Review, że analizują badanie, dodając: „Nieustannie współpracujemy w ramach naszego programu nagród za błędy i innych inicjatyw”.