Inception на живо - хакери могат да откраднат данни от очилата за виртуална реалност

Хакерът може да вмъкне нов "слой" между потребителя и нормалния източник на изображение на устройството и да го накара да изпрати данните си

19:00 | 29 март 2024
Автор: Bloomberg TV Bulgaria
Снимка: Bloomberg LP
Снимка: Bloomberg LP

Защитата на популярни слушалки за виртуална реалност (VR) като Meta Quest или Apple Vision Pro може да бъде разбита, като хакерите добавят фалшиви преживявания, наречени "Inception слоеве", които им позволяват да манипулират поведението на потребителя, пише Дрю Търни за livesciences.com.
Учените са установили уязвимост в слушалките за виртуална реалност, която може да позволи на хакерите да получат достъп до лична информация без знанието на потребителите.

Хакерът може да вмъкне нов "слой" между потребителя и нормалния източник на изображение на устройството. След това хакерите могат да пуснат фалшиво приложение във VR слушалките, което може да подмами потребителя да се държи по определен начин или да изпрати данните си. Това е така нареченият "Inception слой", който се позовава на научнофантастичния трилър на Кристофът Нолан от 2010 г., в който шпионски агенти проникват в съзнанието на мишена и ѝ посаждат идея, която тя приема за своя.

Този тип атаката е описана подробно в статия, качена на 8 март в сървъра за предпечатни материали arXiv, и екипът на livesciences.com успешно я е изпробвал на всички версии на слушалките Meta Quest.

Изследователите откриха няколко възможни пътя за проникване във VR хедсета, вариращи от подслушване на Wi-Fi мрежата на жертвата до инсталиране на приложение (вероятно заразено със зловреден софтуер) от неофициален магазин за приложения. След това тези приложения имитират основната VR среда или на легитимно приложение.

Всичко това е възможно, тъй като VR слушалките нямат толкова надеждни протоколи за сигурност, колкото по-обикновените устройства като смартфони или лаптопи, твърдят учените в статията си.

Използвайки този нов фалшив слой, хакерите могат да контролират и манипулират взаимодействията във VR средата. Потребителят дори няма да знае, че гледа и използва злонамерено копие, например на приложение, което използва, за да си общува с приятели.

Някои примери за това, което нападателят може да направи, включват промяна на сумата на прехвърляните пари - и нейната дестинация - при всяка онлайн трансакция и регистриране на нечии идентификационни данни при влизане в услуга. Хакерите могат дори да добавят фалшиво приложение VRChat и да го използват, за да подслушват разговор или да променят аудиото на живо, като използват изкуствен интелект (AI), за да се представят за участник.

"Слушалките за виртуална реалност имат потенциала да осигурят на потребителите потапящо преживяване, сравнимо със самата реалност", казват учените в документа. "Обратната страна на тези възможности е, че когато се използват неправилно, VR системите могат да улеснят атаките срещу сигурността с много по-тежки последици от традиционните атаки."

Те твърдят, че потапянето в сетивата може да създаде у потребителите фалшиво чувство за комфорт, което ги прави по-склонни да предоставят лична информация и да се доверяват на това, което виждат, отколкото в други компютърни среди.

VR атаките могат да бъдат трудни за откриване, тъй като средата е проектирана така, че да наподобява взаимодействията в реалния свят, а не подсказките, които се виждат в традиционните компютри.

Когато те тествали уязвимостта върху 28 участници, само 10 от тях открили признака на подготвяна атака - мимолетно "проблясване" в зрителното поле, например леко трептене на изображението.

В статията си изследователите изброяват няколко възможни защитни механизма срещу подобни атаки, но според тях производителите трябва да обучават потребителите да знаят всички признаци, че техните слушалки са обект на атака. Такива са незначителни визуални аномалии и прекъсвания.
Подобни атаки могат да станат по-чести с течение на времето, добавят те. Но все още има време за компании като Meta да разработят и внедрят защити, преди VR слушалките да станат по-популярни и да станат все по-честа цел за киберпрестъпниците.