Araştırmacı, Meta'nın Sanal Gerçeklik Başlığının Fidye Yazılımı Saldırılarına Karşı Ne Kadar Savunmasız Olduğunu Açıkladı

Araştırmacı Harish Santhanalakshmi Ganesan, sanal gerçeklik başlıklarının güvenliğine yönelik benzeri görülmemiş bir araştırmada, Meta'nın Quest 3 başlığına kötü amaçlı yazılım dağıtma yöntemini göstererek önemli yeni bir tehdit yüzeyini vurguladı. Bu gelişme, nispeten nadir görülen uzamsal bilgi işlem saldırıları alanına kayda değer bir girişi işaret ediyor.

Ganesan'ın ilgisi, Reddit'te geliştirici modunu etkinleştirmeden Quest 3 VR'ye kötü amaçlı yazılım yüklemenin zorluğunu öne süren iddialarla daha da arttı. Bunu bir meydan okuma olarak kabul ederek cihazın potansiyel güvenlik açıklarını araştırmaya koyuldu. Bulguları, Android Açık Kaynak Projesi'nin (AOSP) temeldeki kısıtlı sürümü tarafından kolaylaştırılan, Quest 3'e herhangi bir APK'nın yüklenmesine izin veren endişe verici bir yöntemi ortaya koyuyor.

Ganesan, YouTube eğitimlerini de içeren basit bir çevrimiçi araştırma sayesinde, Meta'nın Uygulama Laboratuvarı'ndaki bir uygulamanın yerel Android dosya yöneticisine erişim sağlayabileceğini keşfetti. Bunu kullanarak, CovidLock fidye yazılımını kulaklığına başarıyla yükledi. CovidLock, bir COVID-19 izleme uygulaması gibi görünerek Android cihazlarını hedeflemesi, kullanıcıları cihazlarına kilitlemek ve fidye notlarını görüntülemek için izinler elde etmesiyle ünlüdür.

Ganesan'ın araştırmasından elde edilen kritik sonuç, kullanılan belirli kötü amaçlı yazılımlar değil, ortaya çıkardığı ve sosyal mühendislik yoluyla herhangi bir kötü amaçlı yazılımın yayılması için kullanılabilecek süreçtir. SecurityWeek ile yaptığı bir röportajda şunları açıkladı: "Bu araştırma, Meta Quest 3'teki bir güvenlik açığıyla ilgili değil, insanların geliştirici seçenekleri olmadan kötü amaçlı yazılımları dışarıdan yüklemesine olanak tanıyan bir saldırı yüzeyiyle ilgili."

Ganesan, yönteminin teknik ayrıntılarını yayınlamadı ancak kötü niyetli aktörlerin süreci kopyalamasının nispeten kolay olacağına inanıyor. Saldırganların, kullanıcıları Quest 3 kulaklıklarına kötü amaçlı uygulamalar yüklemeleri için kandırmak için sosyal mühendisliği kullanabileceğini ve potansiyel olarak bu uygulamaları geliştirici moduna ihtiyaç duymadan cihaz yöneticilerine dönüştürebileceğini öne sürüyor.

Sorunun teknik bir güvenlik açığından kaynaklanmadığı göz önüne alındığında Meta'nın bir yama ile yanıt vermesi pek mümkün görünmüyor. Bunun yerine Ganesan'ın araştırması, VR kullanıcılarına sosyal mühendislik saldırılarının tehlikeleri konusunda kritik bir uyarı görevi görüyor. Akıllı telefon kullanıcılarına yaygın olarak verilen güvenlik tavsiyelerini yineleyerek, VR kullanıcılarına dikkatli olmalarını ve uygulamaları başka yere yüklemekten kaçınmalarını tavsiye ediyor.