Pētnieks atklāj, kā Meta virtuālās realitātes austiņas ir neaizsargātas pret Ransomware uzbrukumiem

Bezprecedenta izpētē par virtuālās realitātes austiņu drošību pētnieks Harišs Santanalakšmi Ganesans ir demonstrējis metodi ļaunprātīgas programmatūras nogādāšanai Meta's Quest 3 austiņās, izceļot nozīmīgu jaunu draudu virsmu. Šī attīstība iezīmē ievērojamu ienākšanu telpiskās skaitļošanas uzbrukumu jomā, kas ir bijuši salīdzinoši reti.

Ganesana interesi izraisīja apgalvojumi par Reddit, ka ir grūti instalēt ļaunprātīgu programmatūru Quest 3 VR, neiespējojot izstrādātāja režīmu. Uzskatot to par izaicinājumu, viņš nolēma izpētīt iespējamās ierīces ievainojamības. Viņa atklājumi atklāj satraucošu metodi, kas ļauj instalēt jebkuru APK Quest 3, ko veicina tā pamatā esošā Android atvērtā pirmkoda projekta (AOSP) ierobežotā versija.

Veicot vienkāršu tiešsaistes izpēti, tostarp YouTube apmācības, Ganesans atklāja, ka lietotne no Meta's App Lab var nodrošināt piekļuvi vietējam Android failu pārvaldniekam. Izmantojot to, viņš savās austiņās veiksmīgi instalēja CovidLock izspiedējvīrusu . CovidLock ir bēdīgi slavena ar to, ka mērķauditorija tiek atlasīta Android ierīcēm, maskējoties par COVID-19 izsekotāju lietotni, iegūstot atļaujas bloķēt lietotājus no savām ierīcēm un rādīt izpirkuma piezīmes.

Ganesana pētījuma galvenais aspekts ir nevis konkrētā izmantotā ļaunprogrammatūra, bet gan viņa atklātais process, ko varētu izmantot, lai piegādātu jebkuru ļaunprātīgu programmatūru, izmantojot sociālo inženieriju. Intervijā ar SecurityWeek viņš paskaidroja: "Šis pētījums nav saistīts ar Meta Quest 3 ievainojamību, bet gan par uzbrukuma virsmu, kas ļauj cilvēkiem ielādēt ļaunprātīgu programmatūru bez izstrādātāja iespējām."

Ganesans nav publicējis savas metodes tehniskās detaļas, tomēr viņš uzskata, ka ļaunprātīgiem dalībniekiem būtu samērā vienkārši atkārtot procesu. Viņš ierosina, ka uzbrucēji varētu izmantot sociālo inženieriju, lai maldinātu lietotājus savās Quest 3 austiņās instalēt ļaunprātīgas lietotnes, iespējams, pārvēršot šīs lietotnes par ierīču administratoriem, neizmantojot izstrādātāja režīmu.

Ņemot vērā, ka problēma neizriet no tehniskas ievainojamības, maz ticams, ka Meta atbildēs ar ielāpu. Tā vietā Ganesana pētījumi kalpo kā kritisks brīdinājums VR lietotājiem par sociālās inženierijas uzbrukumu briesmām. Viņš iesaka VR lietotājiem būt piesardzīgiem un izvairīties no lietojumprogrammu sānu ielādes, atkārtojot drošības ieteikumus, kas parasti tiek sniegti viedtālruņu lietotājiem.