Takozvani Inception napadi na Meta Quest naočare virtuelne stvarnosti mogu da zarobe korisnike u lažnom virtuelnom okruženju koje napadači ujedno kontrolišu
Istraživači su otkrili potencijalnu sigurnosnu ranjivost na Meta Quest naočarima virtuelne realnosti svih vrsta, u koje spadaju i najnovije naočare tzv. mešovite realnosti, koje kombinuju proširenu (AR) i virtuelnu (VR) stvarnost. Studija koju su sproveli istraživači sa Univerziteta u Čikagu otkrila je mogućnost tzv. Inception napada, (u doslovnom prevodu „početnih“) koji omogućavaju napadačima da špijuniraju i kontrolišu korisničko VR okruženje.
U prilog jačini ovog bezbednosnog propusta govori to što je samo trećina učesnika studije primetila grešku kada su napadači preuzeli kontrolu nad njihovom sesijom na ovom uređaju. Tim sa čikaškog Univerziteta uspeo je da hakuje Meta Quest naočare bez znanja njihovih korisnika, omogućavajući im na taj način da kontrolišu njihovo virtuelno okruženje, ukradu informacije i čak da manipulišu interakcijama između korisnika.
Strategiju napada su nazvali „Inception“, što je i istoimeni naziv filma sa Leonardom Dikaprijom o pljačkašima koji upadaju u, i delom kontrolišu, snove drugih ljudi kako bi ukrali informacije koje su im inače nedostupne.
Ove napade istraživači su definisali kao „one gde napadač kontroliše i manipuliše interakcijom korisnika sa VR okruženjem, tako što zarobi korisnika unutar jedne, zlonamerne VR aplikacije koja se predstavlja kao kompletni VR sistem“.
Studija ujedno dolazi izvršni direktor kompanije Meta Mark Zakerberg kritikuje svoju konkurenciju u vidu Apple Vision Pro AR/VR naočara, ističući da su Meta Quest 3 naočare bolje u većini segmenata, za manje novca.
Da bi izvršili napad, hakeri su morali da budu povezani na istu Wi-Fi mrežu kao i korisnik Meta Quest uređaja. Takođe, naočare su morale da budu u režimu za programere, za kog istraživači tvrde da ga mnogi korisnici drže uključenim kako bi dobili nezavisne aplikacije na svom uređaju, podesili rezoluciju i pravili slike ekrana.
Nakon ispunjenih uslova, istraživači su dobili mogućnost da instaliraju zlonamerni softver na naočare, omogućavajući im da instaliraju lažni početni ekran na uređaju koji je izgledao identično kao originalni ekran korisnika, s tom razlikom da su njega hakeri, u ovom slučaju oni dobri, „beli“, mogli da kontrolišu. Taj duplikat početnog ekrana je suštinski simulacija unutar simulacije, baš kao i delovima pomenutog filma.
„Dok korisnik misli da normalno reaguje sa različitim VR aplikacijama, on zapravo komunicira unutar (prim. aut. dvostruko) simuliranog sveta, gde je sve što vidi i čuje presretnuto, preusmereno i možda izmenjeno od strane napadača“, piše u studiji.
Istraživački tim je takođe kreirao klonirane verzije Meta Quest pregledača i VRChat aplikacije. Kada je replika pregledača bila pokrenuta, tim je mogao da špijunira korisnike dok su se prijavljivali na osetljive naloge, poput bankovnog ili i-mejl naloga.
No, oni nisu samo mogli da vide šta korisnik radi, već i da manipulišu onim što on vidi.
Jedan od opisanih primera je situacija u kojoj korisnik pokušava da prenese jedan dolar nekome, a napadač može da promeni iznos na pet dolara u pozadini. U međuvremenu, korisnik i dalje vidi jedan dolar, uključujući i deo na ekranu za potvrdu, tako da korisnik nije ni svestan šta se dogodilo.
Da bi testirali proces Inception napade sa stvarnim ljudima, istraživači su imali 27 učesnika studije koji su koristili VR naočare dok su izvodili napad. Studija ističe da je samo trećina korisnika primetila neku vrstu greške kada je njihova sesija bila hakovana, i da su svi osim jednog korisnika to smatrali normalnim problemom performansi.
Portparol kompanije Meta je rekao za MIT Technology Review da će pregledati ovu studiju, dodajući da u kompaniji svakako „sarađuju sa akademskim istraživačima kao deo programa za pronalaženje grešaka“.
Benchmark.rs
