Inihayag ng Mananaliksik Kung Paano Mahina ang Virtual Reality Headset ng Meta sa Mga Pag-atake ng Ransomware

Sa isang hindi pa naganap na paggalugad sa seguridad ng mga virtual reality headset, ang mananaliksik na si Harish Santhanalakshmi Ganesan ay nagpakita ng isang paraan upang maghatid ng malware sa Meta's Quest 3 headset, na nagha-highlight ng isang makabuluhang bagong banta sa ibabaw. Ang pag-unlad na ito ay nagmamarka ng isang kapansin-pansing pagpasok sa larangan ng spatial computing na pag-atake, na medyo bihira.

Ang interes ni Ganesan ay napukaw ng mga claim sa Reddit na iginiit ang kahirapan ng pag-install ng malware sa Quest 3 VR nang hindi pinapagana ang mode ng developer. Isinasaalang-alang ito bilang isang hamon, itinakda niyang siyasatin ang mga potensyal na kahinaan ng device. Ang kanyang mga natuklasan ay nagpapakita ng tungkol sa paraan na nagbibigay-daan para sa pag-install ng anumang APK sa Quest 3, na pinadali ng pinagbabatayan nitong pinaghihigpitang bersyon ng Android Open Source Project (AOSP).

Sa pamamagitan ng simpleng online na pananaliksik, kabilang ang mga tutorial sa YouTube, natuklasan ni Ganesan na ang isang app mula sa Meta's App Lab ay maaaring magbigay ng access sa native na Android file manager. Gamit ito, matagumpay niyang na-install ang CovidLock ransomware sa kanyang headset. Kilala ang CovidLock sa pag-target ng mga Android device sa pamamagitan ng pagbabalatkayo bilang isang COVID-19 tracker app, pagkuha ng mga pahintulot na i-lock ang mga user sa kanilang mga device at magpakita ng mga ransom note.

Ang kritikal na takeaway mula sa pananaliksik ni Ganesan ay hindi ang partikular na malware na ginamit ngunit ang prosesong nahukay niya, na maaaring pagsamantalahan upang makapaghatid ng anumang malware sa pamamagitan ng social engineering. Sa isang panayam sa SecurityWeek , nilinaw niya, "Ang pananaliksik na ito ay hindi tungkol sa isang kahinaan sa Meta Quest 3 ngunit tungkol sa isang attack surface na nagpapahintulot sa mga tao na mag-sideload ng malware nang walang mga pagpipilian sa developer."

Hindi nai-publish ni Ganesan ang mga teknikal na detalye ng kanyang pamamaraan, ngunit naniniwala siya na magiging diretso para sa mga malisyosong aktor na gayahin ang proseso. Iminumungkahi niya na ang mga umaatake ay maaaring gumamit ng social engineering upang linlangin ang mga user sa pag-install ng mga nakakahamak na app sa kanilang Quest 3 headset, na posibleng gawing mga administrator ng device ang mga app na iyon nang hindi nangangailangan ng developer mode.

Dahil ang isyu ay hindi nagmumula sa isang teknikal na kahinaan, malamang na ang Meta ay tumugon sa isang patch. Sa halip, ang pananaliksik ni Ganesan ay nagsisilbing kritikal na babala para sa mga gumagamit ng VR tungkol sa mga panganib ng pag-atake ng social engineering. Pinapayuhan niya ang mga gumagamit ng VR na mag-ingat at iwasan ang pag-sideload ng mga application, na sinasabayan ang payo sa seguridad na karaniwang ibinibigay sa mga gumagamit ng smartphone.