Το Quest VR της Meta είναι ευάλωτο σε επιθέσεις τύπου «Inception» – Απατεώνες μπορούν να πάρουν τον πλήρη έλεγχο του Headset

Meta Quest 3 inception

Τα VR headset της Meta, που κοστίζουν σχεδόν 500 δολάρια, είναι ευάλωτα σε επιθέσεις hacking τύπου “Inception” που επιτρέπουν στους απατεώνες να αποκτήσουν τον έλεγχο και να κλέψουν ευαίσθητες πληροφορίες χωρίς ο χρήστης να το γνωρίζει, σύμφωνα με μια μελέτη.

Ερευνητές της επιστήμης υπολογιστών στο Πανεπιστήμιο του Σικάγο δημοσίευσαν την περασμένη εβδομάδα μια ακαδημαϊκή εργασία στην οποία περιγράφουν πώς κατάφεραν να εκμεταλλευτούν ένα ελάττωμα στο σύστημα ασφαλείας του Meta Quest VR για να εκτελέσουν την εξελιγμένη επίθεση.

Οι ερευνητές δημιούργησαν μια κακόβουλη εφαρμογή που εγκαθιστά κώδικα στο σύστημα VR, ο οποίος στη συνέχεια δημιουργεί ένα αντίγραφο της αρχικής οθόνης και των εφαρμογών που φαίνονται πανομοιότυπες με την αρχική οθόνη, σύμφωνα με το MIT Technology Review, το οποίο εξασφάλισε πρώτο τη μελέτη.

Η επίθεση συγκρίνεται από τους ερευνητές με την πλοκή του επιτυχημένου θρίλερ δράσης επιστημονικής φαντασίας “Inception” του 2010, όπου ο Leonardo DiCaprio υποδύεται έναν κλέφτη που κλέβει πληροφορίες διεισδύοντας στο υποσυνείδητο των θυμάτων του.

Πώς λειτουργεί το κακόβουλο λογισμικό;

Μόλις εγκατασταθεί ο κακόβουλος κώδικας, οι χάκερ είναι σε θέση να βλέπουν, να καταγράφουν και να χειρίζονται οποιαδήποτε ενέργεια μπορεί να εκτελέσει ο χρήστης με το headset.

Οι χάκερ μπορούν να πάρουν αποτελεσματικά τον έλεγχο βασικών λειτουργιών όπως η φωνή, οι χειρονομίες, οι πληκτρολογήσεις και οι δραστηριότητες περιήγησης.

«Ενώ ο χρήστης νομίζει ότι αλληλεπιδρά κανονικά με διάφορες εφαρμογές VR, στην πραγματικότητα αλληλεπιδρά μέσα σε έναν προσομοιωμένο κόσμο, όπου ό,τι βλέπει και ακούει έχει υποκλαπεί, αναμεταδοθεί και ενδεχομένως τροποποιηθεί από τους εγκληματίες» αναφέρουν οι ερευνητές στη μελέτη.

Αυτό σημαίνει ότι τα  μηνύματα ενός χρήστης VR που συνομιλεί με έναν φίλο του, μπορούν να υποκλαπούν και να τροποποιηθούν με βάση τις επιθυμίες του χάκερ, χωρίς κανείς από τους συμμετέχοντες στη συνομιλία να το γνωρίζει, σύμφωνα με τους ερευνητές.

Meta Quest 3

Σε μια άλλη περίπτωση, οι χάκερ κατάφεραν να δουν πότε ένας χρήστης εισήγαγε τα στοιχεία σύνδεσής του στον τραπεζικό του λογαριασμό. Στη συνέχεια μπόρεσαν να χειραγωγήσουν την οθόνη προκειμένου να παραποιήσουν το τραπεζικό υπόλοιπο, ώστε να εμφανίζει έναν λανθασμένο αριθμό.

Στο πείραμα, ένας χρήστης VR που προσπάθησε να πληρώσει σε κάποιον 1 δολάριο μέσω του headset κατέληξε να πληρώσει 5 δολάρια χωρίς ο χρήστης να το αντιληφθεί, επειδή οι ερευνητές ήταν σε θέση να αλλάξουν το ποσό που έβλεπε.

Meta Quest 3

Οι ερευνητές δήλωσαν ότι η επίθεση μπορεί να πραγματοποιηθεί μόνο όταν οι χάκερ χρησιμοποιούν το ίδιο δίκτυο WiFi με τον στόχο τους.

Οι χρήστες του Quest VR της Meta είναι ευάλωτοι στην επίθεση αν έχουν τη συσκευή τους σε “developer mode” που τους επιτρέπει να κατεβάζουν εφαρμογές τρίτων.

Οι ειδικοί συνιστούν σε όσους αγοράζουν ακουστικά να αμυνθούν επαναφέροντας τη συσκευή στις εργοστασιακές ρυθμίσεις. Έτσι θα αφαιρεθεί οποιαδήποτε κακόβουλη εφαρμογή. «Συνεργαζόμαστε συνεχώς με ακαδημαϊκούς ερευνητές στο πλαίσιο του προγράμματος bug bounty και άλλων πρωτοβουλιών μας», δήλωσε εκπρόσωπος της Meta στο MIT Technology Review.

Scroll to Top