Специалисты по информационной безопасности из Чикагского университета сообщили об успешном взломе VR-гарнитуры Quest VR. В процессе своей атаки эксперты смогли подменить изображения, которые видят пользователи, в результате чего пришедшие на тестирование люди не смогли даже обнаружить подлога.
К примеру, во время проведения атаки специалисты смогли манипулировать пользовательским экраном так, чтобы продемонстрировать неправильный баланс в приложении для онлайн-банкинга. Помимо этого, экспертам удалось скрытно подменить сумму, которую пользователь отправлял другому человеку.
В Чикагском университете рассказали, что подобные возможности обусловлены тем, что специалистам в ходе взлома удалось проконтролировать как данные, которые отправляет гарнитура Quest VR, так и то, что видит пользователь.
Специалисты также рассказали, что в ходе этого взлома гарнитуру на первом этапе перевели в режим разработчика, который позволяет управлять устройством по сети Wi-Fi. После этого в гарнитуру было интегрировано вредоносное программное обеспечение, которое активировалось в том случае, если пользователь возвращался на главный экран. За счёт вредоносного приложения удалось перехватить изображение на экране гарнитуры и аудиопоток. Поэтому исследователи смогли перенаправить весь трафик в свои системы, помимо этого также была возможность отслеживания всех жестов пользователей.
Несмотря на тот факт, что проведение этой атаки требует запуска режима разработчика, она всё равно остаётся для пользователя достаточно незаметной. В частности, специалисты Чикагского университета попытались взломать устройства 27 специально приглашённых экспертов по виртуальной реальности, которые играли в игру Beat Saber и не знали, что их будут взламывать.
В результате проведения этого тестирования выяснилось, что только 10 человек из 27 смогли заметить, что во время игры произошёл некий лаг, но никакого особого значения этому факту не предали. И только один человек из всех тестируемых предположил, что происходит какая-то сомнительная активность в его устройстве.
Вся информация об этой кибератаке уже была передана разработчикам Quest VR, которые пообещали, что обязательно изучат результаты исследований, но не заявили о том, планируется ли в скором времени исправлять имеющиеся уязвимости безопасности.
Ещё по теме: