Penyelidik Mendedahkan Cara Alat Dengar Realiti Maya Meta Terdedah kepada Serangan Ransomware

Dalam penerokaan yang belum pernah berlaku sebelum ini ke dalam keselamatan set kepala realiti maya, penyelidik Harish Santhanalakshmi Ganesan telah menunjukkan kaedah untuk menghantar perisian hasad ke set kepala Quest 3 Meta, yang menonjolkan permukaan ancaman baharu yang ketara. Perkembangan ini menandakan kemasukan ketara ke dalam bidang serangan pengkomputeran spatial, yang agak jarang berlaku.

Minat Ganesan didorong oleh dakwaan mengenai Reddit yang menegaskan kesukaran memasang perisian hasad pada Quest 3 VR tanpa mendayakan mod pembangun. Mengambil ini sebagai satu cabaran, dia berusaha untuk menyiasat potensi kelemahan peranti itu. Penemuannya mendedahkan kaedah yang membimbangkan yang membenarkan pemasangan mana-mana APK pada Quest 3, difasilitasi oleh versi terhadnya bagi Projek Sumber Terbuka Android (AOSP).

Melalui penyelidikan dalam talian yang mudah, termasuk tutorial YouTube, Ganesan mendapati bahawa aplikasi daripada Meta's App Lab boleh memberikan akses kepada pengurus fail Android asli. Menggunakan ini, dia berjaya memasang perisian tebusan CovidLock pada set kepalanya. CovidLock terkenal kerana menyasarkan peranti Android dengan menyamar sebagai apl penjejak COVID-19, mendapatkan kebenaran untuk mengunci pengguna daripada peranti mereka dan memaparkan nota tebusan.

Pengambilan kritikal daripada penyelidikan Ganesan bukanlah perisian hasad khusus yang digunakan tetapi proses yang digalinya, yang boleh dieksploitasi untuk menghantar sebarang perisian hasad melalui kejuruteraan sosial. Dalam temu bual dengan SecurityWeek , beliau menjelaskan, "Penyelidikan ini bukan mengenai kelemahan dalam Meta Quest 3 tetapi mengenai permukaan serangan yang membolehkan orang ramai memuatkan perisian hasad tanpa pilihan pembangun."

Ganesan belum menerbitkan butiran teknikal kaedahnya, namun dia percaya ia akan menjadi agak mudah bagi pelakon berniat jahat untuk meniru proses itu. Dia mencadangkan bahawa penyerang boleh menggunakan kejuruteraan sosial untuk menipu pengguna supaya memasang apl berniat jahat pada set kepala Quest 3 mereka, yang berpotensi mengubah apl tersebut menjadi pentadbir peranti tanpa memerlukan mod pembangun.

Memandangkan isu itu tidak berpunca daripada kelemahan teknikal, tidak mungkin Meta akan bertindak balas dengan tampung. Sebaliknya, penyelidikan Ganesan berfungsi sebagai amaran kritikal untuk pengguna VR tentang bahaya serangan kejuruteraan sosial. Beliau menasihatkan pengguna VR supaya berhati-hati dan mengelakkan aplikasi memuatkan sisi, mengulangi nasihat keselamatan yang biasa diberikan kepada pengguna telefon pintar.