Onderzoeker onthult hoe Meta's Virtual Reality-headset kwetsbaar is voor ransomware-aanvallen
In een ongekend onderzoek naar de beveiliging van virtual reality-headsets heeft onderzoeker Harish Santhanalakshmi Ganesan een methode gedemonstreerd om malware naar Meta's Quest 3-headset te sturen, waarmee een aanzienlijk nieuw dreigingsoppervlak wordt benadrukt. Deze ontwikkeling markeert een opmerkelijke intrede in het rijk van ruimtelijke computeraanvallen, die relatief zeldzaam zijn.
De interesse van Ganesan werd gewekt door claims op Reddit waarin werd beweerd dat het moeilijk is om malware op de Quest 3 VR te installeren zonder de ontwikkelaarsmodus in te schakelen. Hij beschouwde dit als een uitdaging en ging op zoek naar de mogelijke kwetsbaarheden van het apparaat. Zijn bevindingen onthullen een zorgwekkende methode waarmee elke APK op de Quest 3 kan worden geïnstalleerd, mogelijk gemaakt door de onderliggende beperkte versie van het Android Open Source Project (AOSP).
Door eenvoudig online onderzoek, inclusief YouTube-tutorials, ontdekte Ganesan dat een app van Meta's App Lab toegang kon bieden tot de native Android-bestandsbeheerder. Met behulp hiervan installeerde hij met succes de CovidLock-ransomware op zijn headset. CovidLock is berucht omdat het zich richt op Android-apparaten door zich voor te doen als een COVID-19-tracker-app, waardoor toestemming wordt verkregen om gebruikers buiten hun apparaten te sluiten en losgeldnota's weer te geven.
De belangrijkste conclusie uit het onderzoek van Ganesan is niet de specifieke malware die wordt gebruikt, maar het proces dat hij heeft ontdekt en dat kan worden misbruikt om via social engineering malware te leveren. In een interview met SecurityWeek verduidelijkte hij: “Dit onderzoek gaat niet over een kwetsbaarheid in Meta Quest 3, maar over een aanvalsoppervlak waarmee mensen malware kunnen sideloaden zonder ontwikkelaarsopties.”
Ganesan heeft de technische details van zijn methode nog niet gepubliceerd, maar hij gelooft dat het voor kwaadwillende actoren relatief eenvoudig zou zijn om het proces te repliceren. Hij suggereert dat aanvallers social engineering kunnen gebruiken om gebruikers te misleiden om kwaadaardige apps op hun Quest 3-headsets te installeren, waardoor deze apps mogelijk apparaatbeheerders kunnen worden zonder dat de ontwikkelaarsmodus nodig is.
Aangezien het probleem niet voortkomt uit een technische kwetsbaarheid, is het onwaarschijnlijk dat Meta zal reageren met een patch. In plaats daarvan dient het onderzoek van Ganesan als een kritische waarschuwing voor VR-gebruikers over de gevaren van social engineering-aanvallen. Hij adviseert VR-gebruikers om voorzichtig te zijn en sideloading van applicaties te vermijden, in navolging van het beveiligingsadvies dat vaak aan smartphonegebruikers wordt gegeven.