Журнал MIT Technology Review опубликовал исследование Чикагского университета, которое выявило уязвимость в операционной системе Meta Quest*. Исследователи внедрили вредоносный код в систему Meta Quest VR* через приложение, создающее цифровой клон домашней среды Quest*.
Были взломаны 27 испытуемых, которые не знали об атаке, и предположили простой анализ их активности в виртуальной реальности. Код активировался, когда пользователи выходили из приложения и возвращались на главный экран. Лишь десять человек заметили небольшую задержку, но сочли ее обычной задержкой. Только один пользователь сообщил о какой-либо подозрительной активности.
Оказавшись внутри системы, взломщики смогли видеть, записывать и изменять все, что испытуемые делали с помощью гарнитуры, включая отслеживание речи, жестов, нажатий клавиш и активности браузера. Содержимым сообщений, отправленных другим людям, также можно было манипулировать.
Однако для проведения такой атаки потенциальным хакерам потребуется доступ к сети Wi-Fi пользователя. При этом гарнитура VR должна будет находиться в режиме разработчика. Только в этом режиме возможен удаленный доступ через сеть Wi-Fi.
Представитель Meta сообщил, что компания рассмотрит выводы исследования. Также ожидается независимая экспертная оценка.
Не первая VR-уязвимость
Американские специалисты взломали VR-гарнитуры в ходе испытаний еще в 2018 году, украв конфиденциальные пользовательские данные. В то время основное внимание уделялось VR-гарнитурам для ПК Oculus Rift и HTC Vive. Ученые-компьютерщики из Университета Нью-Хейвена заразили компьютер вредоносным ПО, чтобы обойти барьеры безопасности операционной системы и получить доступ к интерфейсу OpenVR. Это было необходимо для запуска HTC Vive и Oculus Rift под Steam. Интерфейс был плохо защищен, а многие компоненты программного обеспечения не были зашифрованы.
*Meta признана экстремистской компанией на территории России
