Multi-License Discount Quote
Computer Security นักวิจัยเปิดเผยว่าชุดหูฟัง Virtual Reality ของ Meta...

นักวิจัยเปิดเผยว่าชุดหูฟัง Virtual Reality ของ Meta เสี่ยงต่อการโจมตีของ Ransomware ได้อย่างไร

โดย Mura ใน Computer Security
แปลเป็น:
ภาษาไทย

ในการสำรวจความปลอดภัยของชุดหูฟังความเป็นจริงเสมือนที่ไม่เคยมีมาก่อน นักวิจัย Harish Santhanalakshmi Ganesan ได้สาธิตวิธีการส่งมัลแวร์ไปยังชุดหูฟัง Quest 3 ของ Meta โดยเน้นย้ำถึงพื้นผิวภัยคุกคามใหม่ที่สำคัญ การพัฒนานี้นับเป็นการเข้าสู่ขอบเขตการโจมตีด้วยคอมพิวเตอร์เชิงพื้นที่ที่โดดเด่น ซึ่งเกิดขึ้นได้ค่อนข้างน้อย

ความสนใจของ Ganesan ได้รับการกระตุ้นโดยการอ้างสิทธิ์ใน Reddit ที่ยืนยันถึงความยากในการติดตั้งมัลแวร์บน Quest 3 VR โดยไม่ต้องเปิดใช้งานโหมดนักพัฒนาซอฟต์แวร์ ถือเป็นความท้าทาย เขาจึงเริ่มตรวจสอบช่องโหว่ที่อาจเกิดขึ้นของอุปกรณ์ การค้นพบของเขาเผยให้เห็นวิธีการที่เกี่ยวข้องที่ช่วยให้สามารถติดตั้ง APK ใดๆ บน Quest 3 ได้ ซึ่งอำนวยความสะดวกโดยเวอร์ชันจำกัดของ Android Open Source Project (AOSP)

Ganesan ค้นพบว่าแอปจาก App Lab ของ Meta สามารถให้สิทธิ์เข้าถึงตัวจัดการไฟล์ Android แบบเนทีฟผ่านการค้นคว้าออนไลน์ง่ายๆ รวมถึงบทช่วยสอนของ YouTube ด้วยการใช้สิ่งนี้ เขาจึงติดตั้ง มัลแวร์เรียกค่าไถ่ CovidLock บนชุดหูฟังของเขาได้สำเร็จ CovidLock มีชื่อเสียงในการกำหนดเป้าหมายอุปกรณ์ Android โดยปลอมตัวเป็นแอปติดตาม COVID-19 โดยได้รับสิทธิ์ในการล็อคผู้ใช้ออกจากอุปกรณ์และแสดงบันทึกค่าไถ่

สิ่งสำคัญที่ได้รับจากการวิจัยของ Ganesan ไม่ใช่มัลแวร์เฉพาะที่ใช้ แต่เป็นกระบวนการที่เขาค้นพบ ซึ่งสามารถนำไปใช้ประโยชน์เพื่อส่งมัลแวร์ใดๆ ผ่านทางวิศวกรรมสังคม ในการให้สัมภาษณ์กับ SecurityWeek เขาชี้แจงว่า “งานวิจัยนี้ไม่เกี่ยวกับช่องโหว่ใน Meta Quest 3 แต่เกี่ยวกับพื้นผิวการโจมตีที่อนุญาตให้ผู้คนไซด์โหลดมัลแวร์โดยไม่มีตัวเลือกสำหรับนักพัฒนา”

Ganesan ยังไม่ได้เผยแพร่รายละเอียดทางเทคนิคของวิธีการของเขา แต่เขาเชื่อว่ามันจะค่อนข้างตรงไปตรงมาสำหรับนักแสดงที่เป็นอันตรายที่จะทำซ้ำกระบวนการนี้ เขาแนะนำว่าผู้โจมตีสามารถใช้วิศวกรรมสังคมเพื่อหลอกให้ผู้ใช้ติดตั้งแอพที่เป็นอันตรายบนชุดหูฟัง Quest 3 ของพวกเขา ซึ่งอาจเปลี่ยนแอพเหล่านั้นให้เป็นผู้ดูแลอุปกรณ์โดยไม่ต้องใช้โหมดนักพัฒนาซอฟต์แวร์

เนื่องจากปัญหาไม่ได้เกิดจากช่องโหว่ทางเทคนิค จึงไม่น่าเป็นไปได้ที่ Meta จะตอบสนองด้วยแพตช์ การวิจัยของ Ganesan ทำหน้าที่เป็นคำเตือนที่สำคัญสำหรับผู้ใช้ VR เกี่ยวกับอันตรายของการโจมตีทางวิศวกรรมสังคม เขาแนะนำให้ผู้ใช้ VR ระมัดระวังและหลีกเลี่ยงแอปพลิเคชันไซด์โหลด ซึ่งสะท้อนคำแนะนำด้านความปลอดภัยที่ผู้ใช้สมาร์ทโฟนมักได้รับ

กำลังโหลด...