शोधकर्ता ने खुलासा किया कि मेटा का वर्चुअल रियलिटी हेडसेट रैनसमवेयर हमलों के प्रति कैसे असुरक्षित है

वर्चुअल रियलिटी हेडसेट की सुरक्षा के बारे में अभूतपूर्व खोज में, शोधकर्ता हरीश संथानलक्ष्मी गणेशन ने मेटा के क्वेस्ट 3 हेडसेट में मैलवेयर पहुंचाने की विधि का प्रदर्शन किया है, जो एक महत्वपूर्ण नए खतरे की सतह को उजागर करता है। यह विकास स्थानिक कंप्यूटिंग हमलों के क्षेत्र में एक उल्लेखनीय प्रवेश को चिह्नित करता है, जो अपेक्षाकृत दुर्लभ रहे हैं।

गणेशन की दिलचस्पी Reddit पर किए गए दावों से बढ़ी, जिसमें डेवलपर मोड को सक्षम किए बिना क्वेस्ट 3 VR पर मैलवेयर इंस्टॉल करना मुश्किल बताया गया था। इसे एक चुनौती के रूप में लेते हुए, उन्होंने डिवाइस की संभावित कमज़ोरियों की जांच करने का फैसला किया। उनके निष्कर्षों से एक चिंताजनक तरीका सामने आया जो क्वेस्ट 3 पर किसी भी APK को इंस्टॉल करने की अनुमति देता है, जो एंड्रॉइड ओपन सोर्स प्रोजेक्ट (AOSP) के अंतर्निहित प्रतिबंधित संस्करण द्वारा सुगम बनाया गया है।

YouTube ट्यूटोरियल सहित सरल ऑनलाइन शोध के माध्यम से, गणेशन ने पाया कि मेटा के ऐप लैब का एक ऐप मूल Android फ़ाइल प्रबंधक तक पहुँच प्रदान कर सकता है। इसका उपयोग करते हुए, उन्होंने अपने हेडसेट पर सफलतापूर्वक CovidLock रैनसमवेयर इंस्टॉल किया। CovidLock एक COVID-19 ट्रैकर ऐप के रूप में एंड्रॉइड डिवाइस को लक्षित करने के लिए कुख्यात है, उपयोगकर्ताओं को उनके डिवाइस से बाहर लॉक करने और फिरौती नोट प्रदर्शित करने की अनुमति प्राप्त करता है।

गणेशन के शोध से महत्वपूर्ण निष्कर्ष यह नहीं है कि किस विशिष्ट मैलवेयर का उपयोग किया गया, बल्कि वह प्रक्रिया है जिसका उन्होंने पता लगाया, जिसका उपयोग सोशल इंजीनियरिंग के माध्यम से किसी भी मैलवेयर को वितरित करने के लिए किया जा सकता है। सिक्योरिटीवीक के साथ एक साक्षात्कार में, उन्होंने स्पष्ट किया, "यह शोध मेटा क्वेस्ट 3 में किसी भेद्यता के बारे में नहीं है, बल्कि एक हमले की सतह के बारे में है जो लोगों को डेवलपर विकल्पों के बिना मैलवेयर को साइडलोड करने की अनुमति देता है।"

गणेशन ने अपनी विधि का तकनीकी विवरण प्रकाशित नहीं किया है, फिर भी उनका मानना है कि दुर्भावनापूर्ण अभिनेताओं के लिए इस प्रक्रिया को दोहराना अपेक्षाकृत सरल होगा। उनका सुझाव है कि हमलावर सोशल इंजीनियरिंग का उपयोग करके उपयोगकर्ताओं को उनके क्वेस्ट 3 हेडसेट पर दुर्भावनापूर्ण ऐप इंस्टॉल करने के लिए प्रेरित कर सकते हैं, संभवतः उन ऐप्स को डेवलपर मोड की आवश्यकता के बिना डिवाइस प्रशासक में बदल सकते हैं।

यह देखते हुए कि यह समस्या किसी तकनीकी भेद्यता से उत्पन्न नहीं हुई है, यह संभावना नहीं है कि मेटा पैच के साथ प्रतिक्रिया देगा। इसके बजाय, गणेशन का शोध वीआर उपयोगकर्ताओं के लिए सामाजिक इंजीनियरिंग हमलों के खतरों के बारे में एक महत्वपूर्ण चेतावनी के रूप में कार्य करता है। वह वीआर उपयोगकर्ताओं को सावधानी बरतने और एप्लिकेशन को साइडलोड करने से बचने की सलाह देते हैं, जो आमतौर पर स्मार्टफोन उपयोगकर्ताओं को दी जाने वाली सुरक्षा सलाह को दोहराता है।