Un ricercatore rivela come il visore per realtà virtuale di Meta sia vulnerabile agli attacchi ransomware

In un'esplorazione senza precedenti sulla sicurezza dei visori per la realtà virtuale, il ricercatore Harish Santhanalakshmi Ganesan ha dimostrato un metodo per fornire malware ai visori Quest 3 di Meta, evidenziando una nuova significativa superficie di minaccia. Questo sviluppo segna un ingresso notevole nel regno degli attacchi informatici spaziali, che sono stati relativamente rari.

L'interesse di Ganesan è stato stuzzicato dalle affermazioni su Reddit che affermavano la difficoltà di installare malware su Quest 3 VR senza abilitare la modalità sviluppatore. Prendendo questa come una sfida, ha deciso di indagare sulle potenziali vulnerabilità del dispositivo. Le sue scoperte rivelano un metodo preoccupante che consente l'installazione di qualsiasi APK su Quest 3, facilitato dalla versione limitata sottostante dell'Android Open Source Project (AOSP).

Attraverso una semplice ricerca online, inclusi tutorial su YouTube, Ganesan ha scoperto che un'app dell'App Lab di Meta poteva fornire l'accesso al file manager nativo di Android. Utilizzandolo, ha installato con successo il ransomware CovidLock sulle sue cuffie. CovidLock è noto per prendere di mira i dispositivi Android mascherandosi da app di monitoraggio del COVID-19, ottenendo le autorizzazioni per bloccare l'accesso degli utenti ai propri dispositivi e visualizzare le richieste di riscatto.

Il punto critico della ricerca di Ganesan non è lo specifico malware utilizzato, ma il processo da lui scoperto, che potrebbe essere sfruttato per diffondere qualsiasi malware tramite l'ingegneria sociale. In un'intervista con SecurityWeek , ha chiarito: "Questa ricerca non riguarda una vulnerabilità in Meta Quest 3 ma una superficie di attacco che consente alle persone di trasferire malware senza opzioni per gli sviluppatori."

Ganesan non ha pubblicato i dettagli tecnici del suo metodo, ma ritiene che sarebbe relativamente semplice per i malintenzionati replicare il processo. Suggerisce che gli aggressori potrebbero utilizzare l'ingegneria sociale per indurre gli utenti a installare app dannose sui loro visori Quest 3, trasformando potenzialmente tali app in amministratori del dispositivo senza bisogno della modalità sviluppatore.

Dato che il problema non deriva da una vulnerabilità tecnica, difficilmente Meta risponderà con una patch. Invece, la ricerca di Ganesan funge da avvertimento critico per gli utenti di realtà virtuale sui pericoli degli attacchi di ingegneria sociale. Consiglia agli utenti VR di prestare attenzione ed evitare il sideload delle applicazioni, facendo eco ai consigli di sicurezza comunemente forniti agli utenti di smartphone.