Teadlane paljastab, kuidas Meta virtuaalreaalsuse peakomplekt on lunavara rünnakute suhtes haavatav

Enneolematul virtuaalreaalsuse peakomplektide turvalisuse uurimisel on teadlane Harish Santhanalakshmi Ganesan demonstreerinud meetodit pahavara edastamiseks Meta's Quest 3 peakomplekti, tuues esile uue olulise ohupinna. See areng tähistab märkimisväärset sisenemist ruumilise andmetöötluse rünnakute valdkonda, mis on olnud suhteliselt haruldased.

Ganesani huvi äratasid Redditi väited, et pahavara installimine Quest 3 VR-i on keeruline ilma arendajarežiimi lubamata. Võttes seda väljakutsena, asus ta uurima seadme võimalikke haavatavusi. Tema leiud näitavad murettekitavat meetodit, mis võimaldab installida mis tahes APK-d Quest 3-le, mida hõlbustab selle Android avatud lähtekoodiga projekti (AOSP) piiratud versioon.

Lihtsa veebipõhise uurimistöö, sealhulgas YouTube'i õpetuste abil avastas Ganesan, et Meta App Labi rakendus võib pakkuda juurdepääsu Androidi failihaldurile. Seda kasutades installis ta oma peakomplekti edukalt CovidLocki lunavara . CovidLock on kurikuulus selle poolest, et sihib Android-seadmeid, maskeerides end COVID-19 jälgimisrakenduseks, saades load kasutajate seadmetest välja lülitamiseks ja lunarahade kuvamiseks.

Ganesani uurimistöö kriitilise tähtsusega ei ole mitte konkreetne kasutatud pahavara, vaid tema leitud protsess, mida saab kasutada mis tahes pahavara edastamiseks sotsiaalse manipuleerimise kaudu. Intervjuus väljaandele SecurityWeek selgitas ta: "See uurimus ei puuduta Meta Quest 3 haavatavust, vaid ründepinda, mis võimaldab inimestel pahavara külglaadida ilma arendaja valikuteta."

Ganesan ei ole oma meetodi tehnilisi üksikasju avaldanud, kuid ta usub, et pahatahtlikel osalejatel oleks protsessi korrata suhteliselt lihtne. Ta soovitab, et ründajad võiksid kasutada sotsiaalset manipuleerimist, et meelitada kasutajaid oma Quest 3 peakomplektidesse pahatahtlikke rakendusi installima, mis võib muuta need rakendused seadmeadministraatoriteks ilma arendaja režiimi vajamata.

Arvestades, et probleem ei tulene tehnilisest haavatavusest, on ebatõenäoline, et Meta reageerib paigaga. Selle asemel on Ganesani uurimused VR-i kasutajatele kriitilise hoiatusena sotsiaalse inseneri rünnakute ohtude kohta. Ta soovitab VR-i kasutajatel olla ettevaatlik ja vältida rakenduste külglaadimist, järgides nutitelefoni kasutajatele tavaliselt antud turvanõuandeid.