Multi-License Discount Quote
Computer Security محقق نشان می دهد که چگونه هدست واقعیت مجازی متا در برابر...

محقق نشان می دهد که چگونه هدست واقعیت مجازی متا در برابر حملات باج افزار آسیب پذیر است

تا Mura در Computer Security
ترجمه به:
فارسی

در یک کاوش بی سابقه در امنیت هدست های واقعیت مجازی، محقق Harish Santhanalakshmi Ganesan روشی را برای ارائه بدافزار به هدست Meta's Quest 3 نشان داده است که سطح تهدید جدیدی را برجسته می کند. این توسعه نشان دهنده ورود قابل توجهی به قلمرو حملات محاسباتی فضایی است که نسبتاً نادر بوده است.

علاقه گانسان به دلیل ادعاهایی که در Reddit مبنی بر دشواری نصب بدافزار در Quest 3 VR بدون فعال کردن حالت توسعه دهنده وجود داشت، برانگیخته شد. او با در نظر گرفتن این موضوع به عنوان یک چالش، به بررسی آسیب پذیری های احتمالی دستگاه پرداخت. یافته‌های او روش نگران‌کننده‌ای را نشان می‌دهد که امکان نصب هر APK را در Quest 3 فراهم می‌کند، که توسط نسخه محدود شده آن از پروژه منبع باز Android (AOSP) تسهیل می‌شود.

از طریق تحقیقات آنلاین ساده، از جمله آموزش های یوتیوب، گانسان متوجه شد که برنامه ای از Meta's App Lab می تواند دسترسی به مدیر فایل بومی اندروید را فراهم کند. او با استفاده از این باج افزار CovidLock را با موفقیت روی هدست خود نصب کرد. CovidLock به دلیل هدف قرار دادن دستگاه‌های اندرویدی از طریق ظاهر شدن به عنوان یک برنامه ردیاب COVID-19، کسب مجوز برای قفل کردن کاربران از دستگاه‌هایشان و نمایش یادداشت‌های باج‌گیری بدنام است.

نکته مهم در تحقیقات Ganesan بدافزار خاص مورد استفاده نیست، بلکه فرآیند کشف شده توسط وی است که می تواند برای ارائه هر بدافزار از طریق مهندسی اجتماعی مورد سوء استفاده قرار گیرد. او در مصاحبه با SecurityWeek توضیح داد: «این تحقیق در مورد آسیب‌پذیری در Meta Quest 3 نیست، بلکه در مورد سطح حمله‌ای است که به افراد اجازه می‌دهد تا بدافزارهای جانبی را بدون گزینه‌های توسعه‌دهنده بارگذاری کنند.»

گانسان جزئیات فنی روش خود را منتشر نکرده است، با این حال او معتقد است که تکرار این فرآیند برای بازیگران مخرب نسبتاً ساده است. او پیشنهاد می‌کند که مهاجمان می‌توانند از مهندسی اجتماعی برای فریب کاربران برای نصب برنامه‌های مخرب روی هدست‌های Quest 3 خود استفاده کنند و به طور بالقوه آن برنامه‌ها را بدون نیاز به حالت توسعه‌دهنده به مدیران دستگاه تبدیل کنند.

با توجه به اینکه این مشکل از یک آسیب پذیری فنی ناشی نمی شود، بعید است که متا با یک پچ پاسخ دهد. در عوض، تحقیقات Ganesan به عنوان یک هشدار حیاتی برای کاربران VR در مورد خطرات حملات مهندسی اجتماعی عمل می کند. او به کاربران VR توصیه می کند که احتیاط کنند و از بارگذاری جانبی برنامه ها خودداری کنند و توصیه های امنیتی که معمولاً به کاربران تلفن های هوشمند داده می شود را تکرار می کند.

بارگذاری...