Raziskovalec razkriva, kako so Metine slušalke za virtualno resničnost ranljive za napade izsiljevalske programske opreme

V raziskovanju varnosti slušalk za navidezno resničnost brez primere je raziskovalec Harish Santhanalakshmi Ganesan prikazal metodo za dostavo zlonamerne programske opreme v slušalke Meta Quest 3, s čimer je poudaril pomembno novo površino groženj. Ta razvoj označuje opazen vstop na področje prostorskih računalniških napadov, ki so bili relativno redki.

Ganesanovo zanimanje so vzbudile trditve na Redditu, ki trdijo, da je težko namestiti zlonamerno programsko opremo na Quest 3 VR, ne da bi omogočili razvijalski način. Ker je to vzel kot izziv, se je odločil raziskati morebitne ranljivosti naprave. Njegove ugotovitve razkrivajo skrb vzbujajočo metodo, ki omogoča namestitev katerega koli APK-ja na Quest 3, ki jo omogoča osnovna omejena različica projekta Android Open Source Project (AOSP).

S preprostim spletnim raziskovanjem, vključno z vadnicami na YouTubu, je Ganesan odkril, da lahko aplikacija iz Meta's App Lab omogoči dostop do izvirnega upravitelja datotek Android. S tem je uspešno namestil izsiljevalsko programsko opremo CovidLock na svoje slušalke. CovidLock je znan po tem, da cilja na naprave Android tako, da se pretvarja v aplikacijo za sledenje bolezni COVID-19, pridobiva dovoljenja za zaklepanje uporabnikov iz njihovih naprav in prikaz obvestil o odkupnini.

Ključna ugotovitev Ganesanove raziskave ni uporabljena specifična zlonamerna programska oprema, ampak postopek, ki ga je odkril in ki bi ga lahko izkoristili za dostavo kakršne koli zlonamerne programske opreme prek socialnega inženiringa. V intervjuju za SecurityWeek je pojasnil: "Ta raziskava se ne nanaša na ranljivost v Meta Quest 3, ampak na površino za napade, ki ljudem omogoča stranski prenos zlonamerne programske opreme brez možnosti razvijalca."

Ganesan ni objavil tehničnih podrobnosti svoje metode, vendar verjame, da bi bilo za zlonamerne akterje razmeroma preprosto ponoviti postopek. Predlaga, da bi lahko napadalci uporabili socialni inženiring, da bi uporabnike pretentali v namestitev zlonamernih aplikacij na njihove slušalke Quest 3, s čimer bi lahko te aplikacije spremenili v skrbnike naprav, ne da bi potrebovali način za razvijalce.

Glede na to, da težava ne izvira iz tehnične ranljivosti, je malo verjetno, da se bo Meta odzvala s popravkom. Namesto tega Ganesanova raziskava služi kot kritično opozorilo za uporabnike VR o nevarnostih napadov socialnega inženiringa. Uporabnikom VR svetuje, naj bodo previdni in se izogibajo stranskemu nalaganju aplikacij, pri čemer odmeva varnostni nasvet, ki se običajno daje uporabnikom pametnih telefonov.