Οι επιστήμονες εντόπισαν μια ευπάθεια σε εικονική πραγματικότητα (VR) ακουστικά που θα μπορούσαν να επιτρέψουν στους χάκερ να έχουν πρόσβαση σε ιδιωτικές πληροφορίες χωρίς να το γνωρίζουν οι χρήστες.
Ένας χάκερ μπορεί να εισάγει ένα νέο «στρώμα» μεταξύ του χρήστη και της κανονικής πηγής εικόνας της συσκευής. Οι χάκερ μπορούν στη συνέχεια να αναπτύξουν μια ψεύτικη εφαρμογή στα ακουστικά VR που μπορεί να ξεγελάσουν τον χρήστη ώστε να συμπεριφέρεται με συγκεκριμένους τρόπους ή να εγκαταλείψει τα δεδομένα του. Αυτό είναι γνωστό ως “Inception layer”, αναφερόμενο στο θρίλερ επιστημονικής φαντασίας του Chris Nolan του 2010 στο οποίο πράκτορες κατασκοπείας διεισδύουν στο μυαλό ενός στόχου και εμφυτεύουν μια ιδέα που ο στόχος υποθέτει ότι είναι δική τους.
Η “επίθεση έναρξης” του VR περιγράφηκε λεπτομερώς σε ένα έγγραφο που ανέβηκε στις 8 Μαρτίου στον διακομιστή προεκτύπωσης arXivκαι η ομάδα το δοκίμασε με επιτυχία σε όλες τις εκδόσεις των ακουστικών Meta Quest.
Οι ερευνητές βρήκαν διάφορες πιθανές οδούς εισόδου στα ακουστικά εικονικής πραγματικότητας, που κυμαίνονται από το πάτημα στο δίκτυο Wi-Fi του θύματος έως την “πλευρική φόρτωση” – όταν ένας χρήστης εγκαθιστά μια εφαρμογή (πιθανώς φορτωμένη με κακόβουλο λογισμικό) από ένα ανεπίσημο κατάστημα εφαρμογών. Στη συνέχεια, αυτές οι εφαρμογές είτε προσποιούνται ότι είναι το βασικό περιβάλλον VR είτε ως μια νόμιμη εφαρμογή.
Όλα αυτά είναι δυνατά επειδή τα ακουστικά εικονικής πραγματικότητας δεν έχουν πρωτόκολλα ασφαλείας τόσο ισχυρά όσο σε πιο κοινές συσκευές όπως smartphone ή φορητούς υπολογιστές, είπαν οι επιστήμονες στο έγγραφό τους.
Χρησιμοποιώντας αυτό το νέο ψεύτικο επίπεδο, οι χάκερ μπορούν στη συνέχεια να ελέγχουν και να χειρίζονται τις αλληλεπιδράσεις στο περιβάλλον VR. Ο χρήστης δεν θα γνωρίζει καν ότι κοιτάζει και χρησιμοποιεί ένα κακόβουλο αντίγραφο, για παράδειγμα, μιας εφαρμογής που χρησιμοποιεί για να επικοινωνήσει με φίλους.
Μερικά παραδείγματα του τι θα μπορούσε να κάνει ένας εισβολέας περιλαμβάνουν την αλλαγή του ποσού των χρημάτων που μεταφέρονται — και του προορισμού του — σε οποιαδήποτε ηλεκτρονική συναλλαγή και την καταγραφή των διαπιστευτηρίων κάποιου κατά τη σύνδεση σε μια υπηρεσία. Οι χάκερ μπορούν ακόμη και να προσθέσουν μια ψεύτικη εφαρμογή VRChat και να τη χρησιμοποιήσουν για να παρακολουθούν μια συνομιλία ή να τροποποιούν ζωντανό ήχο χρησιμοποιώντας τεχνητή νοημοσύνη (AI) για να μιμηθούν έναν συμμετέχοντα.
«Τα ακουστικά VR έχουν τη δυνατότητα να προσφέρουν στους χρήστες μια βαθιά συναρπαστική εμπειρία συγκρίσιμη με την ίδια την πραγματικότητα», αναφέρουν οι επιστήμονες στην εφημερίδα. “Η άλλη πλευρά αυτών των καθηλωτικών δυνατοτήτων είναι ότι όταν χρησιμοποιούνται κατά λάθος, τα συστήματα VR μπορούν να διευκολύνουν επιθέσεις ασφαλείας με πολύ πιο σοβαρές συνέπειες από τις παραδοσιακές επιθέσεις.”
Η καθηλωτική αισθητηριακή είσοδος μπορεί να δώσει στους χρήστες μια ψευδή αίσθηση άνεσης, ισχυρίστηκαν, καθιστώντας τους πιο πιθανό να εγκαταλείψουν τις ιδιωτικές πληροφορίες και να εμπιστευτούν αυτό που βλέπουν σε σχέση με άλλα υπολογιστικά περιβάλλοντα.
Οι επιθέσεις εικονικής πραγματικότητας μπορεί επίσης να είναι δύσκολο να εντοπιστούν, επειδή το περιβάλλον είναι σχεδιασμένο να μοιάζει με αλληλεπιδράσεις στον πραγματικό κόσμο — αντί με τις προτροπές που βλέπετε στους συμβατικούς υπολογιστές. Όταν δοκίμασαν το exploit σε 28 συμμετέχοντες, μόνο 10 εντόπισαν το δώρο ότι μια επίθεση βρισκόταν σε εξέλιξη – η οποία ήταν ένα φευγαλέο “σφάλμα” στο οπτικό πεδίο σαν ένα ελαφρύ τρεμόπαιγμα στην εικόνα.
Οι ερευνητές απαρίθμησαν αρκετούς πιθανούς μηχανισμούς άμυνας έναντι τέτοιων επιθέσεων στο έγγραφό τους, αλλά είπαν ότι οι κατασκευαστές θα πρέπει να εκπαιδεύουν τους χρήστες σχετικά με τυχόν σημάδια ότι τα ακουστικά τους δέχεται επίθεση. Αυτά περιλαμβάνουν μικρές οπτικές ανωμαλίες και δυσλειτουργίες.
Τέτοιες επιθέσεις θα μπορούσαν να γίνουν πιο συχνές με την πάροδο του χρόνου, πρόσθεσαν. Ωστόσο, υπάρχει ακόμα χρόνος για εταιρείες όπως η Meta να δημιουργήσουν και να αναπτύξουν αντίμετρα προτού τα ακουστικά VR γίνουν πιο δημοφιλή και οι εγκληματίες του κυβερνοχώρου τα θεωρήσουν βιώσιμο φορέα για να εξαπολύσουν επίθεση.