Οι hacking επιθέσεις σε VR headset είναι σπάνιες. Ωστόσο, η πρώτη ransomware επίθεση κατά του Apple Vision Pro αναφέρθηκε μόλις τη δεύτερη εβδομάδα του Ιουνίου 2024.
Ένας ερευνητής παρουσίασε μια μέθοδο για την εγκατάσταση κακόβουλου λογισμικού (malware) στo Quest 3 headset της Meta.
Διαβάστε επίσης: Meta’s Horizon Worlds: Κυκλοφορεί όπου πωλείται το Quest Ηeadset
Ο ερευνητής Harish Santhanalakshmi Ganesan ανέφερε στο Reddit ότι η εγκατάσταση κακόβουλου λογισμικού στο Quest 3 VR είναι σχεδόν αδύνατη. Ως προσωπική πρόκληση για να εξερευνήσει νέες απειλές, αποφάσισε να το κάνει χωρίς να ενεργοποιήσει το developer mode.
Μια απλή αναζήτηση στο Google αποκάλυψε ότι η Meta χρησιμοποιεί μια προσαρμοσμένη έκδοση του Android Open Source Project (AOSP). “Αυτό σημαίνει ότι μπορώ να εγκαταστήσω οποιοδήποτε APK όπως και σε ένα Android τηλέφωνο”, είπε.
Περαιτέρω έρευνα στο YouTube τον οδήγησε σε μια μεθοδολογία που χρησιμοποιεί μια εφαρμογή από το Meta’s App Lab, δίνοντας πρόσβαση στον διαχειριστή αρχείων του εγγενούς Android. «Χρησιμοποίησα αυτή τη μέθοδο για να εγκαταστήσω το ransomware CovidLock στο headset μου», εξήγησε.
Δείτε ακόμη: Meta: Διακόπτει την εκπαίδευση του AI με δεδομένα χρηστών
Το CovidLock είναι ένα ransomware που στοχεύει συσκευές Android, μεταμφιεσμένο σε εφαρμογή παρακολούθησης COVID-19. Χρησιμοποιεί την κατάχρηση αδειών για να αποκτήσει επιπλέον δικαιώματα. Αν επιτύχει, κλειδώνει τους χρήστες από τη συσκευή και εμφανίζει ένα σημείωμα λύτρων.
Ωστόσο, το κακόβουλο λογισμικό που εγκατέστησε ο ερευνητής δεν έχει σημασία – η διαδικασία που ανακάλυψε θα μπορούσε να παραδώσει οποιοδήποτε κακόβουλο λογισμικό μέσω της κοινωνικής μηχανικής.
«Η έρευνα αυτή δεν αφορά μια ευπάθεια στο Meta Quest 3, αλλά μια επιφάνεια επίθεσης που επιτρέπει την εγκατάσταση κακόβουλου λογισμικού χωρίς την ενεργοποίηση των επιλογών προγραμματιστή», δήλωσε στο SecurityWeek. Παρόλο που δεν έχει δημοσιεύσει τις τεχνικές λεπτομέρειες της μεθόδου, πιστεύει ότι δεν θα ήταν δύσκολο για τους κακόβουλους χρήστες να επαναλάβουν τη διαδικασία.
Διαβάστε επίσης: Η Logitech Παρουσιάζει το MX Ink για Meta Quest 2 και 3
Δεν αναμένει από τη Meta να αντιδράσει ενεργά στην έρευνά του, καθώς δεν περιλαμβάνει τεχνικά μια ευπάθεια, αλλά επικεντρώνεται στην κοινωνική μηχανική.
«Αυτό σημαίνει ότι οποιοσδήποτε hacker θα μπορούσε να χρησιμοποιήσει την κοινωνική μηχανική για να ξεγελάσει έναν χρήστη ώστε να εγκαταστήσει μια κακόβουλη εφαρμογή στο Quest και να την κάνει διαχειριστή της συσκευής χωρίς να ενεργοποιήσει τη λειτουργία προγραμματιστή», είπε στο SecurityWeek. «Υποθετικά, οι hackers θα μπορούσαν να δημιουργήσουν ένα ransomware και να το διαδώσουν μέσω ενός βίντεο στο YouTube σχετικά με την εγκατάσταση third-party λογισμικού χωρίς υπολογιστή, διαδίδοντας έτσι το (κακόβουλο) APK».
Δεδομένου ότι δεν υπάρχει τεχνική ευπάθεια, δεν αναμένεται να υπάρξει ενημέρωση κώδικα. Ο ερευνητής δημοσίευσε την εργασία του για να προειδοποιήσει τους χρήστες VR να προσέχουν από επιθέσεις κοινωνικής μηχανικής (social engineering). Η κύρια συμβουλή είναι η ίδια με αυτή που δίνεται σε όλους τους χρήστες smartphone: Αποφύγετε το sideloading.
Δείτε περισσότερα: Το παιχνίδι VR “Demeo” τώρα διαθέσιμο για το Apple Vision Pro
Πηγή: securityweek
