Istraživač otkriva kako su Metine slušalice za virtualnu stvarnost ranjive na napade ransomwarea

U dosad neviđenom istraživanju sigurnosti slušalica za virtualnu stvarnost, istraživač Harish Santhanalakshmi Ganesan demonstrirao je metodu za isporuku zlonamjernog softvera na slušalice Meta Quest 3, ističući značajnu novu površinu prijetnje. Ovaj razvoj označava značajan ulazak u područje napada prostornim računalstvom, koji su bili relativno rijetki.

Ganesanovo zanimanje potaknule su tvrdnje na Redditu koje tvrde da je teško instalirati zlonamjerni softver na Quest 3 VR bez omogućavanja načina rada za razvojne programere. Shvativši to kao izazov, krenuo je istraživati potencijalne ranjivosti uređaja. Njegova otkrića otkrivaju zabrinjavajuću metodu koja omogućuje instalaciju bilo kojeg APK-a na Quest 3, što je olakšano njegovom temeljnom ograničenom verzijom Android Open Source Project (AOSP).

Jednostavnim online istraživanjem, uključujući tutoriale na YouTubeu, Ganesan je otkrio da bi aplikacija iz Meta's App Laba mogla omogućiti pristup izvornom Android upravitelju datotekama. Iskoristivši to, uspješno je instalirao CovidLock ransomware na svoje slušalice. CovidLock je poznat po ciljanju Android uređaja maskiranjem u aplikaciju za praćenje bolesti COVID-19, dobivanjem dopuštenja za zaključavanje korisnika s njihovih uređaja i prikazivanje bilješki o otkupnini.

Ključni zaključak Ganesanovog istraživanja nije korišteni specifični zlonamjerni softver, već proces koji je otkrio, a koji bi se mogao iskoristiti za isporuku bilo kakvog zlonamjernog softvera putem društvenog inženjeringa. U intervjuu za SecurityWeek , pojasnio je: "Ovo istraživanje nije o ranjivosti u Meta Questu 3, već o površini za napad koja ljudima omogućuje učitavanje zlonamjernog softvera sa strane bez opcija razvojnog programera."

Ganesan nije objavio tehničke detalje svoje metode, ali vjeruje da bi zlonamjernim akterima bilo relativno jednostavno ponoviti proces. On sugerira da bi napadači mogli koristiti društveni inženjering kako bi prevarili korisnike da instaliraju zlonamjerne aplikacije na njihove Quest 3 slušalice, potencijalno pretvarajući te aplikacije u administratore uređaja bez potrebe za razvojnim načinom rada.

S obzirom da problem ne proizlazi iz tehničke ranjivosti, malo je vjerojatno da će Meta odgovoriti zakrpom. Umjesto toga, Ganesanovo istraživanje služi kao kritičko upozorenje za korisnike VR-a o opasnostima napada društvenim inženjeringom. On savjetuje korisnicima VR-a da budu oprezni i izbjegavaju bočno učitavanje aplikacija, ponavljajući sigurnosne savjete koji se obično daju korisnicima pametnih telefona.