Пространствените компютърни атаки, насочени към VR слушалки, са рядкост. Вероятно първата хакерска атака срещу Vision Pro на Apple става публично достояние едва през втората седмица на юни 2024 г. Сега обаче изследовател демонстрира метод за доставяне на всякакъв зловреден софтуер на хедсета Quest 3 на Meta.
Изследователят Хариш Сантаналакшми Ганесан прие твърденията в Reddit, че е почти невъзможно да се инсталира зловреден софтуер на Quest 3 VR, като лично предизвикателство да изследва новите повърхности на заплахи – той реши да го направи, без да активира режима за разработчици.
Простото търсене в Google му подсказало, че Meta използва ограничена версия на Android Open Source Project (AOSP). „Това означава, че мога да инсталирам всякакви APK файлове, точно както инсталирате приложения в телефона си с Android“, каза той.
Още едно гугълстване, този път с YouTube, открило методология, използваща приложение от App Lab на Meta, което дава достъп до нативния файлов мениджър на Android. „Използвах този метод, за да инсталирам рансъмуера CovidLock на моите слушалки“, обясни той.
CovidLock е рансъмуер, който е насочен към устройства с Android. Той се маскира като приложение за проследяване COVID-19 и използва пълзящи разрешения, за да получи допълнителни разрешения. Ако получи достатъчно, той блокира потребителите на устройството и показва бележка с искане за откуп.
Инсталираният от изследователя зловреден софтуер обаче е без значение – откритият от него процес може да достави всякакъв зловреден софтуер чрез социално инженерство.
„Това изследване не се отнася до уязвимост в Meta Quest 3, а по-скоро до повърхност за атака, която позволява на хората да зареждат зловреден софтуер без опции за разработчици“, каза той. Въпреки че не е публикувал технически подробности за метода, той смята, че за лошите играчи няма да е трудно да възпроизведат процеса.
Той не очаква Мета да реагира активно на изследването му, тъй като то технически не включва уязвимост, а се върти около социалното инженерство.
Въпреки това: „Това означава, че всеки нападател може да използва социално инженерство, за да подмами потребител да инсталира злонамерено приложение в Quest и да направи това приложение администратор на устройството, без да активира режима за разработчици. Хипотетично“, казwа той, „нападателите биха могли да създадат ransomware и да го разпространят чрез видеоклип в YouTube за това как да инсталирате софтуер на трети страни без компютър и да споделят (зловредния) APK в процеса“.
Тъй като не става въпрос за техническа уязвимост, вероятно няма да има кръпка. Изследователят е оповестил работата си, за да предупреди потребителите на VR да се пазят от атаки със социален инженеринг. Основното решение е същото като съвета, който се дава на всички потребители на смартфони: избягвайте страничното зареждане.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
