-
Un nuovo studio rivela che i ricercatori hanno scoperto una potenziale vulnerabilità della sicurezza nel visore VR di Meta.
-
Il cosiddetto “attacco di priming” consente a un utente malintenzionato di spiare e controllare l'ambiente di realtà virtuale dell'utente.
-
Solo un terzo dei partecipanti allo studio ha notato il problema tecnico quando la loro sessione è stata violata.
I ricercatori hanno scoperto una vulnerabilità di sicurezza potenzialmente importante in Cuffie per meta realtà virtualesecondo un nuovo studio.
Un team di ricercatori dell'Università di Chicago ha affermato di aver scoperto un modo per hackerare i visori Meta Quest all'insaputa dell'utente, consentendo loro di controllare l'ambiente di realtà virtuale dell'utente, rubare informazioni e persino manipolare le interazioni tra gli utenti.
I ricercatori hanno definito questa strategia un “attacco di priming”, che hanno definito come “un attacco controllato da un utente malintenzionato che manipola l’interazione dell’utente con il proprio dispositivo”. Ambiente di realtà virtuale“Intrappolando l'utente in un'unica app VR dannosa che si maschera da sistema VR completo.”
Lo studio viene come Mark Zuckerberg, amministratore delegato di Meta continua a Scarica su Apple Vision Pro, il suo più grande concorrente nello spazio. La settimana scorsa, Zuckerberg ha affermato che i visori per la realtà virtuale di Apple erano “peggiori sotto molti aspetti”.
IL Stareche è stato segnalato per la prima volta da Revisione della tecnologia del MITnon è stato ancora sottoposto a peer review.
Secondo lo studio, per sferrare l'attacco gli hacker dovevano essere collegati alla stessa rete WiFi dell'utente Quest. Anche le cuffie devono essere in modalità sviluppatore, come spesso affermano i ricercatori Meta-ricerca Gli utenti rimangono abilitati a ottenere app di terze parti, regolare la risoluzione e acquisire screenshot.
Da lì, i ricercatori sono stati in grado di installare malware sulle cuffie, consentendo loro di installare una schermata iniziale falsa che sembrava identica allo schermo originale dell'utente, ma poteva essere controllata dai ricercatori.
Questa schermata iniziale duplicata è essenzialmente una simulazione all'interno di una simulazione.
“Mentre l'utente crede di interagire normalmente con varie applicazioni VR, in realtà sta interagendo all'interno di un mondo simulato, dove tutto ciò che vede e sente viene intercettato, trasmesso e possibilmente alterato dall'aggressore”, hanno scritto i ricercatori nello studio. .
I ricercatori hanno creato versioni clonate dell'app Meta Quest Browser e dell'app VRChat. Una volta eseguita la replica dell'app del browser, i ricercatori sono stati in grado di spiare gli utenti mentre accedevano ad account sensibili, come la banca o la posta elettronica.
Erano in grado non solo di vedere cosa stava facendo l'utente, ma anche di manipolare ciò che l'utente stava vedendo.
Ad esempio, i ricercatori hanno descritto una situazione in cui un utente trasferisce denaro. Mentre l'utente tenta di trasferire $ 1 a qualcuno, l'aggressore può modificare l'importo in $ 5 sul back-end. Nel frattempo, all'utente viene ancora visualizzato come $ 1, anche nella schermata di conferma, quindi l'utente non è a conoscenza di ciò che è accaduto.
Per testare il processo di attacco iniziale con persone reali, i ricercatori hanno chiesto a 27 partecipanti allo studio di interagire con loro Cuffie per realtà virtuale Mentre stavano attaccando. Lo studio ha affermato che solo un terzo degli utenti ha notato il difetto quando la loro sessione è stata compromessa e tutti gli utenti tranne uno lo hanno attribuito a un normale problema di prestazioni.
Meta non ha risposto immediatamente alla richiesta di commento di Business Insider, ma un portavoce del MIT Technology Review ha detto che avrebbe rivisto lo studio, aggiungendo: “Lavoriamo continuamente con ricercatori accademici come parte del nostro programma bug bounty e altre iniziative”.
Leggi l'articolo originale su Interessato al commercio
“Esperto di Internet. Fan della TV. Analista esasperatamente umile. Pioniere di Twitter impenitente. Fanatico del caffè freelance.”