Tyrėjas atskleidžia, kaip „Meta“ virtualios realybės ausinės yra pažeidžiamos išpirkos programinės įrangos atakų

Atlikdamas precedento neturintį virtualios realybės ausinių saugumo tyrimą, mokslininkas Harishas Santhanalakshmi Ganesanas pademonstravo būdą, kaip pristatyti kenkėjiškas programas į „Meta's Quest 3“ ausines, pabrėždamas reikšmingą naują grėsmės paviršių. Ši plėtra žymi reikšmingą įėjimą į erdvinių kompiuterių atakų sritį, kurios buvo gana retos.

Ganesano susidomėjimą paskatino teiginiai apie Reddit, teigiantys, kad sunku įdiegti kenkėjiškas programas Quest 3 VR neįjungus kūrėjo režimo. Priimdamas tai kaip iššūkį, jis nusprendė ištirti galimus įrenginio pažeidžiamumus. Jo išvados atskleidžia susirūpinimą keliantį metodą, leidžiantį įdiegti bet kurį APK Quest 3, kurį palengvina pagrindinė ribota Android atvirojo kodo projekto (AOSP) versija.

Atlikęs paprastą internetinį tyrimą, įskaitant „YouTube“ mokymo programas, Ganesanas atrado, kad „Meta's App Lab“ programa gali suteikti prieigą prie vietinės „Android“ failų tvarkyklės. Pasinaudojęs tuo, jis sėkmingai įdiegė „CovidLock“ išpirkos reikalaujančią programinę įrangą į savo ausines. „CovidLock“ yra pagarsėjęs tuo, kad taiko į „Android“ įrenginius, prisidengdamas COVID-19 stebėjimo programa, įgydamas leidimus užrakinti naudotojus iš savo įrenginių ir rodyti išpirkos užrašus.

Ganesano tyrimų esminė dalis yra ne konkreti naudojama kenkėjiška programinė įranga, o jo atrastas procesas, kurį būtų galima panaudoti siekiant pateikti bet kokią kenkėjišką programą naudojant socialinę inžineriją. Interviu su SecurityWeek jis paaiškino: „Šis tyrimas susijęs ne su „Meta Quest 3“ pažeidžiamumu, o su atakos paviršiumi, leidžiančiu žmonėms įkelti kenkėjiškas programas be kūrėjo parinkčių.

Ganesanas nepaskelbė techninių savo metodo detalių, tačiau jis mano, kad piktybiniams veikėjams būtų gana paprasta pakartoti procesą. Jis siūlo, kad užpuolikai galėtų naudoti socialinę inžineriją, kad apgautų vartotojus, kad jie įdiegtų kenkėjiškas programas savo „Quest 3“ ausinėse, o tai gali paversti šias programas įrenginių administratoriais, nereikalaujant kūrėjo režimo.

Atsižvelgiant į tai, kad problema kyla ne dėl techninio pažeidžiamumo, mažai tikėtina, kad Meta atsakys pataisydama. Vietoj to, Ganesano tyrimai yra svarbus įspėjimas VR naudotojams apie socialinės inžinerijos atakų pavojų. Jis pataria VR naudotojams būti atsargiems ir vengti programų įkelties iš šono, pakartodamas saugumo patarimus, kurie dažniausiai teikiami išmaniųjų telefonų naudotojams.