Tutkija paljastaa, kuinka Metan virtuaalitodellisuuskuulokkeet ovat alttiina kiristysohjelmien hyökkäyksille

Tutkija Harish Santhanalakshmi Ganesan on ennennäkemättömässä tutkiessaan virtuaalitodellisuuskuulokkeiden turvallisuutta osoittanut menetelmän haittaohjelmien toimittamiseksi Meta's Quest 3 -kuulokkeisiin korostaen merkittävää uutta uhkaa. Tämä kehitys merkitsee huomattavaa tuloa spatial computing hyökkäysten valtakuntaan, jotka ovat olleet suhteellisen harvinaisia.

Ganesanin kiinnostus herätti Redditin väitteet, joiden mukaan haittaohjelmien asentaminen Quest 3 VR:ään on vaikeaa ilman kehittäjätilan käyttöönottoa. Hän otti tämän haasteena ja ryhtyi tutkimaan laitteen mahdollisia haavoittuvuuksia. Hänen havainnot paljastavat huolestuttavan menetelmän, joka mahdollistaa minkä tahansa APK:n asennuksen Quest 3:lle, mikä helpottaa sen taustalla olevaa Android Open Source Projectin (AOSP) rajoitettua versiota.

Yksinkertaisen verkkotutkimuksen, mukaan lukien YouTube-opetusohjelmien, avulla Ganesan huomasi, että Metan App Labin sovellus voisi tarjota pääsyn alkuperäiseen Android-tiedostonhallintaan. Tätä hyödyntäen hän asensi onnistuneesti CovidLock-kiristysohjelman kuulokkeisiinsa. CovidLock on pahamaineinen kohdistamisestaan Android-laitteisiin naamioitumalla COVID-19-seurantasovellukseksi, saamalla luvat lukita käyttäjät pois laitteistaan ja näyttää lunnaita.

Kriittinen poiminta Ganesanin tutkimuksesta ei ole tietyt käytetyt haittaohjelmat, vaan hänen löytämänsä prosessi, jota voidaan hyödyntää minkä tahansa haittaohjelman toimittamisessa sosiaalisen manipuloinnin avulla. SecurityWeek -lehden haastattelussa hän selvensi: "Tämä tutkimus ei koske Meta Quest 3:n haavoittuvuutta, vaan hyökkäysalustaa, jonka avulla ihmiset voivat ladata haittaohjelmia sivulta ilman kehittäjävaihtoehtoja."

Ganesan ei ole julkaissut menetelmänsä teknisiä yksityiskohtia, mutta hän uskoo, että pahantahtoisten toimijoiden olisi suhteellisen yksinkertaista toistaa prosessi. Hän ehdottaa, että hyökkääjät voisivat käyttää sosiaalista manipulointia huijatakseen käyttäjiä asentamaan haitallisia sovelluksia Quest 3 -kuulokkeisiinsa, mikä saattaa muuttaa kyseiset sovellukset laitteen ylläpitäjiksi ilman kehittäjätilaa.

Koska ongelma ei johdu teknisestä haavoittuvuudesta, on epätodennäköistä, että Meta vastaa korjauksella. Sen sijaan Ganesanin tutkimus toimii kriittisenä varoituksena VR-käyttäjille sosiaalisten manipulointihyökkäysten vaaroista. Hän neuvoo VR-käyttäjiä olemaan varovaisia ja välttämään sovellusten sivulatausta, mikä toistaa älypuhelinten käyttäjille yleisesti annettuja turvallisuusohjeita.