Meta VR gözlükleri kullanıcıları yanıltıcı bir ortama hapsedebilir: çalışma

• Yeni bir çalışma, araştırmacıların Meta'nın VR başlığında potansiyel bir güvenlik açığını ortaya çıkardığını ortaya koyuyor.
• “Hazırlama saldırısı” olarak adlandırılan saldırı, bir saldırganın kullanıcının sanal gerçeklik ortamını gözetlemesine ve kontrol etmesine olanak tanır.
• Çalışma katılımcılarının yalnızca üçte biri, oturumları hacklendiğinde bu aksaklığı fark etti.

Yeni bir araştırmaya göre araştırmacılar, Meta'nın sanal gerçeklik başlıklarında potansiyel olarak büyük bir güvenlik açığını ortaya çıkardılar.

Chicago Üniversitesi'nden bir araştırma ekibi, kullanıcının bilgisi olmadan Meta Quest kulaklıklarını hacklemenin, kullanıcının sanal gerçeklik ortamını kontrol etmelerine, bilgi çalmalarına ve hatta kullanıcılar arasındaki etkileşimleri manipüle etmelerine olanak tanıyan bir yol keşfettiklerini söyledi.

Araştırmacılar bu stratejiyi “hazır saldırı” olarak adlandırdılar ve bunu “kullanıcıyı tam VR sistemi gibi görünen tek bir kötü amaçlı VR uygulaması içine hapsederek kullanıcının VR ortamlarıyla etkileşimini manipüle eden, saldırgan tarafından kontrol edilen bir saldırı” olarak tanımladılar.

Bu çalışma, Meta CEO'su Mark Zuckerberg'in bu alandaki en büyük rakibi olan Apple Vision Pro'yu terk etmeye devam ettiği bir dönemde geldi. Geçen hafta Zuckerberg, Apple'ın sanal gerçeklik kulaklığının “birçok açıdan daha kötü” olduğunu söyledi.

the Stajtarafından ilk kez rapor edilen MIT Teknoloji İncelemesihenüz hakem incelemesinden geçmedi.

Araştırmaya göre, saldırının gerçekleştirilebilmesi için bilgisayar korsanlarının Quest kullanıcısıyla aynı Wi-Fi ağına bağlı olması gerekiyordu. Kulaklıklı mikrofon setinin geliştirici modunda da olması gerekiyor; araştırmacılar, birçok Meta Quest kullanıcısının üçüncü taraf uygulamaları almak, çözünürlüğü ayarlamak ve ekran görüntüsü almak için bu modu etkin tuttuğunu söyledi.

Buradan itibaren araştırmacılar, kulaklıklara kötü amaçlı yazılım yerleştirmeyi başardılar ve böylece kullanıcının orijinal ekranıyla aynı görünen ancak araştırmacıların kontrol edebildiği sahte bir ana ekran kurmalarına olanak tanıdılar.

Bu yinelenen ana ekran aslında simülasyon içinde simülasyondur.

Araştırmacılar çalışmada şöyle yazdı: “Kullanıcı çeşitli VR uygulamalarıyla normal şekilde etkileşime girdiğine inanırken, aslında gördükleri ve duydukları her şeyin saldırgan tarafından ele geçirildiği, iletildiği ve muhtemelen değiştirildiği simüle edilmiş bir dünya içinde etkileşime giriyorlar.” .

Araştırmacılar, Meta Quest Tarayıcı uygulamasının ve VRChat uygulamasının klonlanmış sürümlerini oluşturdular. Tarayıcı uygulamasının kopyası çalıştırıldıktan sonra araştırmacılar, banka veya e-posta gibi hassas hesaplara giriş yapan kullanıcıları gözetleyebildiler.

Yalnızca kullanıcının ne yaptığını görmekle kalmayıp, aynı zamanda kullanıcının gördüklerini de değiştirebildiler.

Örneğin araştırmacılar, bir kullanıcının para transfer ettiği bir durumu tanımladılar. Kullanıcı birisine 1$ aktarmaya çalışırken saldırgan arka uçta bu tutarı 5$ olarak değiştirebiliyor. Bu arada, onay ekranı da dahil olmak üzere kullanıcıya hala 1$ olarak görünüyor, dolayısıyla kullanıcı ne olduğundan habersiz.

İlk saldırı sürecini gerçek kişilerle test etmek için araştırmacılar, 27 çalışma katılımcısından saldırıyı gerçekleştirirken sanal gerçeklik kulaklıklarıyla etkileşime girmelerini istedi. Çalışma, kullanıcıların yalnızca üçte birinin, oturumları ele geçirildiğinde kusuru fark ettiğini ve biri hariç tüm kullanıcıların bunu normal bir performans sorununa bağladığını söyledi.

Meta, Business Insider'ın yorum talebine hemen yanıt vermedi, ancak MIT Technology Review sözcüsü çalışmayı gözden geçireceklerini söyledi ve şunu ekledi: “Hata ödül programımızın ve diğer girişimlerimizin bir parçası olarak sürekli olarak akademik araştırmacılarla çalışıyoruz.”