Naukowcy zidentyfikowali lukę w zabezpieczeniach w Wirtualna rzeczywistość (VR) Słuchawki, które mogą umożliwić hakerom dostęp do prywatnych informacji bez wiedzy użytkownika.
Haker może wstawić nową „warstwę” pomiędzy użytkownikiem a normalnym źródłem obrazu urządzenia. Hakerzy mogą następnie wdrożyć fałszywą aplikację w goglach VR, która może nakłonić użytkownika do określonego zachowania lub oddania danych. Nazywa się to „Pierwotną warstwą” i jest to nawiązanie do thrillera science-fiction Chrisa Nolana z 2010 roku, w którym agenci szpiegowscy infiltrują umysł ofiary i podsycają pomysł, który cel zakłada jako swój własny.
„Atak rozpryskowy” w rzeczywistości wirtualnej został szczegółowo opisany w artykule przesłanym 8 marca na serwer preprintów arXivZespół pomyślnie przetestował go na wszystkich wersjach zestawu słuchawkowego Meta Quest.
Badacze znaleźli kilka możliwych sposobów dostania się do gogli VR, począwszy od podłączenia się do sieci Wi-Fi ofiary po „sideloading” – czyli wtedy, gdy użytkownik instaluje aplikację (potencjalnie zawierającą złośliwe oprogramowanie) z nieoficjalnego sklepu z aplikacjami. Aplikacje te następnie udają podstawowe środowisko VR lub legalną aplikację.
Naukowcy w swoim artykule stwierdzili, że wszystko to jest możliwe, ponieważ zestawy słuchawkowe do wirtualnej rzeczywistości nie mają protokołów bezpieczeństwa zbliżonych do tak silnych, jak w bardziej powszechnych urządzeniach, takich jak smartfony czy laptopy.
Korzystając z tej nowej fałszywej warstwy, hakerzy mogą następnie kontrolować interakcje w środowisku rzeczywistości wirtualnej i manipulować nimi. Użytkownik nawet nie zorientuje się, że przegląda i używa złośliwej wersji aplikacji, której używa na przykład do komunikowania się ze znajomymi.
Powiązany: „Hakerzy białych kapeluszy” kradną Teslę za pomocą tanich, legalnych urządzeń – ujawniając poważne luki w zabezpieczeniach samochodu
Oto kilka przykładów tego, co może zrobić osoba atakująca, obejmują zmianę kwoty przesyłanych pieniędzy i miejsca docelowego w dowolnej transakcji online oraz rejestrowanie czyichś danych uwierzytelniających podczas logowania się do usługi. Hakerzy mogą także dodać fałszywą aplikację VRChat i wykorzystać ją do podsłuchiwania rozmowy lub modyfikowania dźwięku na żywo za pomocą sztucznej inteligencji (AI) w celu podszywania się pod uczestnika.
„Zestawy słuchawkowe do rzeczywistości wirtualnej mogą zapewnić użytkownikom bardzo wciągające wrażenia porównywalne z samą rzeczywistością” – stwierdzili naukowcy w swoim artykule. „Drugą stroną tych wciągających możliwości jest to, że w przypadku niewłaściwego użycia systemy VR mogą ułatwiać ataki bezpieczeństwa o znacznie poważniejszych konsekwencjach niż tradycyjne ataki”.
Twierdzili, że immersyjne bodźce zmysłowe mogą dawać użytkownikom fałszywe poczucie komfortu, zwiększając prawdopodobieństwo, że zrezygnują z prywatnych informacji i zaufają temu, co widzą, niż w innych środowiskach komputerowych.
Ataki VR mogą być również trudne do wykrycia, ponieważ środowisko zaprojektowano tak, aby przypominało interakcje w świecie rzeczywistym, a nie podpowiedzi, które widzisz w tradycyjnym przetwarzaniu. Kiedy przetestowali lukę w zabezpieczeniach na 28 uczestnikach, tylko 10 z nich wykryło trwający atak — będący przejściową „usterką” w polu widzenia, przypominającą lekkie migotanie obrazu.
Badacze wymienili w swoim artykule kilka potencjalnych mechanizmów obrony przed takimi atakami, ale stwierdzili, że producenci powinni edukować użytkowników o wszelkich oznakach ataku. Należą do nich drobne anomalie wizualne i usterki.
Dodali, że z biegiem czasu takie ataki mogą stać się częstsze. Jednak firmy takie jak Meta mają jeszcze czas na opracowanie i wdrożenie środków zaradczych, zanim gogle VR staną się bardziej popularne, a cyberprzestępcy uznają je za skuteczny sposób przeprowadzenia ataku.
„Nieuleczalny myśliciel. Miłośnik jedzenia. Subtelnie czarujący badacz alkoholu. Zwolennik popkultury”.
More Stories
Emdoor przygotowuje się do zaprezentowania swoich osiągnięć w zakresie nowej technologii sztucznej inteligencji podczas targów Global Sources Mobile Electronics Show 2024.
LinkedIn wykorzystuje Twoje dane do szkolenia Microsoft, OpenAI i jego modeli AI – oto jak to wyłączyć
Zapomnij o Apple Watch Series 10 — Apple Watch Ultra 2 w kolorze Satin Black to smartwatch, który warto mieć