Un cercetător dezvăluie cum căștile de realitate virtuală Meta sunt vulnerabile la atacurile ransomware
Într-o explorare fără precedent a securității căștilor de realitate virtuală, cercetătorul Harish Santhanalakshmi Ganesan a demonstrat o metodă de a furniza malware la căștile Meta Quest 3, evidențiind o nouă suprafață de amenințare semnificativă. Această dezvoltare marchează o intrare notabilă în domeniul atacurilor de calcul spațial, care au fost relativ rare.
Interesul lui Ganesan a fost stârnit de afirmațiile pe Reddit care afirmă dificultatea instalării programelor malware pe Quest 3 VR fără a activa modul dezvoltator. Luând asta ca pe o provocare, el și-a propus să investigheze potențialele vulnerabilități ale dispozitivului. Descoperirile sale dezvăluie o metodă îngrijorătoare care permite instalarea oricărui APK pe Quest 3, facilitată de versiunea restrânsă a proiectului Android Open Source (AOSP).
Printr-o simplă cercetare online, inclusiv tutoriale pe YouTube, Ganesan a descoperit că o aplicație de la Meta's App Lab ar putea oferi acces la managerul de fișiere Android nativ. Folosind acest lucru, a instalat cu succes ransomware-ul CovidLock pe căștile sale. CovidLock este renumit pentru că țintește dispozitivele Android, prefăcându-se ca o aplicație de urmărire a COVID-19, obținând permisiuni pentru a bloca utilizatorii de pe dispozitivele lor și pentru a afișa note de răscumpărare.
Rezultatul critic din cercetarea lui Ganesan nu este malware-ul specific folosit, ci procesul pe care l-a descoperit, care ar putea fi exploatat pentru a furniza orice malware prin inginerie socială. Într-un interviu pentru SecurityWeek , el a clarificat: „Această cercetare nu este despre o vulnerabilitate în Meta Quest 3, ci despre o suprafață de atac care permite oamenilor să încarce malware fără opțiuni pentru dezvoltatori.”
Ganesan nu a publicat detaliile tehnice ale metodei sale, dar crede că ar fi relativ simplu pentru actorii rău intenționați să reproducă procesul. El sugerează că atacatorii ar putea folosi ingineria socială pentru a păcăli utilizatorii să instaleze aplicații rău intenționate pe căștile lor Quest 3, transformând aceste aplicații în administratori de dispozitiv fără a avea nevoie de modul dezvoltator.
Având în vedere că problema nu provine dintr-o vulnerabilitate tehnică, este puțin probabil ca Meta să răspundă cu un patch. În schimb, cercetarea lui Ganesan servește ca un avertisment critic pentru utilizatorii de VR cu privire la pericolele atacurilor de inginerie socială. El îi sfătuiește pe utilizatorii VR să fie precauți și să evite încărcarea laterală a aplicațiilor, făcând ecou sfaturile de securitate oferite în mod obișnuit utilizatorilor de smartphone-uri.