Studiuesi zbulon se si kufjet e realitetit virtual të Meta janë të cenueshme ndaj sulmeve të Ransomware

Në një eksplorim të paprecedentë në sigurinë e kufjeve të realitetit virtual, studiuesi Harish Santhanalakshmi Ganesan ka demonstruar një metodë për të ofruar malware në kufjet Quest 3 të Meta, duke theksuar një sipërfaqe të re të rëndësishme kërcënimi. Ky zhvillim shënon një hyrje të dukshme në fushën e sulmeve kompjuterike hapësinore, të cilat kanë qenë relativisht të rralla.

Interesi i Ganesan u zgjua nga pretendimet në Reddit që pohonin vështirësinë e instalimit të malware në Quest 3 VR pa aktivizuar modalitetin e zhvilluesit. Duke e marrë këtë si një sfidë, ai u nis për të hetuar dobësitë e mundshme të pajisjes. Gjetjet e tij zbulojnë një metodë shqetësuese që lejon instalimin e çdo APK në Quest 3, e lehtësuar nga versioni i kufizuar i tij themelor i Projektit me Burim të Hapur Android (AOSP).

Nëpërmjet kërkimeve të thjeshta në internet, duke përfshirë udhëzimet në YouTube, Ganesan zbuloi se një aplikacion nga Meta's App Lab mund të sigurojë akses në menaxherin e skedarëve të Android. Duke përdorur këtë, ai instaloi me sukses ransomware CovidLock në kufjet e tij. CovidLock është i njohur për shënjestrimin e pajisjeve Android duke u maskuar si një aplikacion gjurmues COVID-19, duke fituar leje për të bllokuar përdoruesit nga pajisjet e tyre dhe për të shfaqur shënime për shpërblesë.

Marrja kritike nga hulumtimi i Ganesan nuk është malware specifik i përdorur, por procesi që ai zbuloi, i cili mund të shfrytëzohet për të ofruar ndonjë malware nëpërmjet inxhinierisë sociale. Në një intervistë me SecurityWeek , ai sqaroi, "Ky hulumtim nuk ka të bëjë me një dobësi në Meta Quest 3, por me një sipërfaqe sulmi që lejon njerëzit të ngarkojnë malware pa opsione zhvilluesish."

Ganesan nuk i ka publikuar detajet teknike të metodës së tij, megjithatë ai beson se do të ishte relativisht e thjeshtë që aktorët keqdashës ta përsërisin procesin. Ai sugjeron që sulmuesit mund të përdorin inxhinierinë sociale për të mashtruar përdoruesit për të instaluar aplikacione me qëllim të keq në kufjet e tyre Quest 3, duke i kthyer ato aplikacione në administratorë të pajisjes pa pasur nevojë për modalitetin e zhvilluesit.

Duke qenë se çështja nuk buron nga një dobësi teknike, nuk ka gjasa që Meta të përgjigjet me një patch. Në vend të kësaj, hulumtimi i Ganesan shërben si një paralajmërim kritik për përdoruesit e VR në lidhje me rreziqet e sulmeve të inxhinierisë sociale. Ai këshillon përdoruesit e VR që të tregojnë kujdes dhe të shmangin ngarkimin anash të aplikacioneve, duke i bërë jehonë këshillave të sigurisë që zakonisht u jepen përdoruesve të smartfonëve.