芝加哥大學的研究人員在 Meta 的虛擬實境耳機 Quest 中發現了一個安全漏洞。由於此漏洞,可以策劃一種名為“inception”的攻擊。這個名字指的是這個想法將想法或經歷植入某人的腦海中在他沒有意識到的情況下,正如克里斯多福諾蘭的同名電影中那樣。正如該研究所解釋的那樣,麻省理工科技評論, 用戶“可能容易摔倒”在“一種新型攻擊”。
克隆的介面
為了協調操作,研究人員首先連接到與目標 VR 耳機相同的 Wi-Fi 網路。然後,他們為 Meta Quest 部署了一個包含惡意程式碼的應用程式。這個將類比耳機介面目的是欺騙佩戴者。該應用程式將克隆整個介面,例如主螢幕或 Quest 上安裝的應用程式。簡而言之,用戶將確信他們正在 Quest 作業系統中瀏覽,但他們將被困在惡意應用程式中。
一旦受害者被困在這個模擬中,“所有用戶與遠端伺服器、網路應用程式和其他虛擬實境用戶的互動都可能在用戶不知情的情況下被記錄或修改”。駭客可以看到並聽到用戶在耳機中所做的一切。這為所有資料竊取打開了大門。例如,駭客可以收集您的密碼、監視您的對話“克隆的 VRChat 應用程式”,或催促你將錢轉入銀行帳戶。我們可以想像網路犯罪者發起虛假對話,模仿親人的聲音或臉孔深偽,要求您進行緊急轉移。研究人員表示,這種攻擊還可以讓您毫不費力地獲得您的銀行詳細資訊。
虛擬現實,目標太脆弱?
為了證明網路攻擊的可行性,美國研究人員模擬了對 27 名戴著虛擬實境耳機的人的攻擊。獨自的37% 的研究參與者意識到他們的虛擬實境耳機正在遭受攻擊。事實上,攻擊開始時存在顯示故障。儘管大多數參與者都是 VR 領域的專家,但他們仍將這種現象歸因於一個簡單的無害錯誤。對芝加哥大學電腦科學教授希瑟鄭來說,這段經歷凸顯了“當今虛擬實境系統的脆弱性”在IT安全方面。
然而,研究強調,必須在耳機上啟動開發者模式才能使攻擊可行。此模式可讓您下載第三方應用程序,這對於操作至關重要。事實上,絕大多數 Quest 用戶都沒有任何風險。
好消息是,耳機中發現的缺陷尚未被網路犯罪分子利用。在一份新聞稿中致麻省理工科技評論,梅塔建議他將檢查攻擊源頭的漏洞。馬克祖克柏的公司表示它正在運作“作為我們的錯誤賞金計劃和其他舉措的一部分,不斷與學術研究人員合作”。
來源 : Arxiv
