Oamenii de știință au identificat o vulnerabilitate în realitate virtuală (VR) căști care ar putea permite hackerilor să acceseze informații private fără știrea purtătorilor.
Un hacker poate introduce un nou „strat” între utilizator și sursa normală de imagine a dispozitivului. Hackerii pot implementa apoi o aplicație falsă în căștile VR care l-ar putea păcăli pe purtător să se comporte în anumite moduri sau să renunțe la datele lor. Acesta este cunoscut sub numele de „stratul de început”, referindu-se la thrillerul SF din 2010 al lui Chris Nolan, în care agenții de spionaj se infiltrează în mintea unei ținte și implantează o idee despre care ținta presupune că este a lor.
„Atacul inițial” VR a fost detaliat într-o lucrare încărcată pe 8 martie pe serverul de preprint arXiviar echipa l-a testat cu succes pe toate versiunile căștilor Meta Quest.
Cercetătorii au găsit mai multe căi posibile de intrare în căștile VR, de la accesarea rețelei Wi-Fi a victimei până la „încărcare laterală” – adică atunci când un utilizator instalează o aplicație (posibil încărcată cu malware) dintr-un magazin de aplicații neoficial. Apoi, aceste aplicații fie pretind a fi mediul VR de bază, fie o aplicație legitimă.
Toate acestea sunt posibile deoarece căștile VR nu au protocoale de securitate nici pe departe la fel de robuste ca în dispozitivele mai comune, cum ar fi smartphone-urile sau laptopurile, au spus oamenii de știință în lucrarea lor.
Folosind acest nou strat fals, hackerii pot controla și manipula interacțiunile din mediul VR. Utilizatorul nici nu va fi conștient că se uită și folosește o copie rău intenționată a, de exemplu, o aplicație pe care o folosește pentru a ajunge din urmă cu prietenii.
Câteva exemple de ceea ce ar putea face un atacator includ modificarea sumei de bani transferate – și destinația acesteia – în orice tranzacție online și înregistrarea acreditărilor cuiva atunci când se conectează la un serviciu. Hackerii pot chiar să adauge o aplicație VRChat falsă și să o folosească pentru a asculta o conversație sau pentru a modifica sunetul live folosind inteligența artificială (AI) pentru a uzurpa identitatea unui participant.
„Căștile VR au potențialul de a oferi utilizatorilor o experiență profund captivantă, comparabilă cu realitatea în sine”, au spus oamenii de știință în lucrare. „Reversul acestor capacități imersive este că, atunci când sunt utilizate greșit, sistemele VR pot facilita atacurile de securitate cu consecințe mult mai grave decât atacurile tradiționale.”
Intrarea senzorială imersivă poate oferi utilizatorilor un fals sentiment de confort, susțin ei, făcându-i mai probabil să renunțe la informații private și să aibă încredere în ceea ce văd decât în alte medii de calcul.
Atacurile VR pot fi, de asemenea, greu de detectat, deoarece mediul este proiectat să semene cu interacțiunile din lumea reală, mai degrabă decât cu indicațiile pe care le vedeți în computerele convenționale. Când au testat exploit-ul pe 28 de participanți, doar 10 au detectat că un atac era în curs de desfășurare – care a fost o „glitch” trecătoare în câmpul vizual, ca o ușoară pâlpâire în imagine.
Cercetătorii au enumerat mai multe mecanisme posibile de apărare împotriva unor astfel de atacuri în lucrarea lor, dar au spus că producătorii ar trebui să educe utilizatorii cu privire la orice semn că căștile lor sunt atacate. Acestea includ anomalii vizuale minore și erori.
Astfel de atacuri ar putea deveni mai frecvente în timp, au adăugat ei. Dar există încă timp pentru companii precum Meta să construiască și să implementeze contramăsuri înainte ca căștile VR să devină mai populare și infractorii cibernetici să le considere un vector viabil pentru a lansa un atac.