Meta Quest: ข้อบกพร่องทำให้คุณติดอยู่ในการจำลองที่เป็นอันตราย

นักวิจัยจากมหาวิทยาลัยชิคาโกได้ค้นพบข้อบกพร่องด้านความปลอดภัยใน Quest ซึ่งเป็นชุดหูฟังเสมือนจริงของ Meta ด้วยช่องโหว่นี้ คุณจึงสามารถเตรียมการโจมตีที่เรียกว่า "การเริ่มต้น" ได้ ชื่อนี้หมายถึงความคิดของปลูกฝังความคิดหรือประสบการณ์ในใจของใครบางคนโดยที่เขาไม่รู้ตัว เหมือนกับในภาพยนตร์ชื่อเดียวกันของคริสโตเฟอร์ โนแลน ตามที่การศึกษาอธิบายถ่ายทอดโดยการทบทวนเทคโนโลยีของ MIT, ผู้ใช้“อาจล้มง่าย”ใน“การโจมตีรูปแบบใหม่”-

อ่านเพิ่มเติม:Meta และ LG กำลังทำงานเพื่อพัฒนาคู่แข่งที่ขับเคลื่อนด้วย AI ให้กับ Vision Pro, Quest Pro 2

อินเทอร์เฟซแบบโคลน

เพื่อเตรียมการดำเนินการ ขั้นแรกนักวิจัยจะเชื่อมต่อกับเครือข่าย Wi-Fi เดียวกันกับชุดหูฟัง VR เป้าหมาย จากนั้นพวกเขาจึงปรับใช้แอปพลิเคชันสำหรับ Meta Quest ที่มีโค้ดที่เป็นอันตราย อันนี้จะเลียนแบบอินเทอร์เฟซของชุดหูฟังโดยมีจุดมุ่งหมายเพื่อหลอกลวงผู้สวมใส่ แอปนี้จะโคลนอินเทอร์เฟซทั้งหมด เช่น หน้าจอหลัก หรือแอปพลิเคชันที่ติดตั้งใน Quest กล่าวโดยสรุป ผู้ใช้จะมั่นใจได้ว่าพวกเขากำลังเรียกดูภายในระบบปฏิบัติการ Quest แต่พวกเขาจะติดอยู่ภายในแอปพลิเคชันที่เป็นอันตราย

เมื่อเหยื่อติดอยู่ในสถานการณ์จำลองนี้“การโต้ตอบของผู้ใช้ทั้งหมดกับเซิร์ฟเวอร์ระยะไกล แอปพลิเคชันเครือข่าย และผู้ใช้ความเป็นจริงเสมือนอื่น ๆ อาจถูกบันทึกหรือแก้ไขโดยที่พวกเขาไม่รู้”- แฮกเกอร์มองเห็นและได้ยินทุกสิ่งที่ผู้ใช้ทำในชุดหูฟัง นี่เป็นการเปิดประตูสู่การขโมยข้อมูลทั้งหมด ตัวอย่างเช่น แฮกเกอร์สามารถรวบรวมรหัสผ่านของคุณ สอดแนมการสนทนาของคุณด้วย“แอปพลิเคชัน VRChat แบบโคลน”หรือผลักดันให้คุณโอนเงินเข้าบัญชีธนาคาร เราสามารถจินตนาการได้ว่าอาชญากรไซเบอร์เริ่มการสนทนาปลอมๆ โดยเลียนแบบเสียงหรือใบหน้าของคนที่คุณรักด้วยยกเลิกการปลอมแปลงเพื่อขอให้คุณทำการโอนฉุกเฉิน ตามที่นักวิจัยระบุว่า การโจมตีดังกล่าวยังช่วยให้คุณรับรายละเอียดธนาคารของคุณได้โดยไม่ยากเลยแม้แต่น้อย

ความเป็นจริงเสมือน เปราะบางเกินไปเป้าหมาย?

เพื่อแสดงให้เห็นถึงความเป็นไปได้ของการโจมตีทางไซเบอร์ นักวิจัยชาวอเมริกันได้จำลองการโจมตีคน 27 คนโดยสวมชุดหูฟังความเป็นจริงเสมือน ตามลำพัง37% ของผู้เข้าร่วมการศึกษาตระหนักว่ามีการโจมตีบนชุดหูฟังความเป็นจริงเสมือนของพวกเขา ในความเป็นจริงมีข้อผิดพลาดในการแสดงผลเมื่อการโจมตีเริ่มต้นขึ้น ผู้เข้าร่วมส่วนใหญ่แม้จะเป็นผู้เชี่ยวชาญด้าน VR แต่ก็ถือว่าปรากฏการณ์นี้เกิดจากจุดบกพร่องที่ไม่เป็นอันตราย สำหรับ Heather Zheng ศาสตราจารย์ด้านวิทยาการคอมพิวเตอร์ที่มหาวิทยาลัยชิคาโก ประสบการณ์นี้เป็นจุดเด่น“ความเปราะบางของระบบความเป็นจริงเสมือนในปัจจุบัน”ในแง่ของความปลอดภัยด้านไอที

อย่างไรก็ตาม การศึกษาเน้นย้ำว่าจำเป็นต้องเปิดใช้งานโหมดนักพัฒนาซอฟต์แวร์บนชุดหูฟังเพื่อให้การโจมตีเป็นไปได้ โหมดนี้อนุญาตให้คุณดาวน์โหลดแอปพลิเคชันบุคคลที่สามซึ่งจำเป็นสำหรับการดำเนินการ โดยพฤตินัย ผู้ใช้ Quest ส่วนใหญ่ไม่ได้เสี่ยงอะไรเลย

ข่าวดี ข้อบกพร่องที่ระบุในชุดหูฟังยังไม่ถูกอาชญากรไซเบอร์นำไปใช้ประโยชน์ ในการแถลงข่าวจ่าหน้าถึงการทบทวนเทคโนโลยีของ MITMeta แนะนำว่าการละเมิดที่จุดกำเนิดของการโจมตีจะถูกตรวจสอบโดยเขา บริษัทของ Mark Zuckerberg ระบุว่ากำลังดำเนินการอยู่“ร่วมกับนักวิจัยเชิงวิชาการอย่างต่อเนื่องซึ่งเป็นส่วนหนึ่งของโปรแกรม Bug Bounty และโครงการริเริ่มอื่น ๆ ของเรา”-

🔴 เพื่อไม่พลาดข่าวสาร 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-

แหล่งที่มา : อาร์ซิฟ