Τα VR headsets είναι ευάλωτα σε “επιθέσεις Inception” όπου οι χάκερ μπορούν να διαταράξουν την αίσθηση της πραγματικότητας και να κλέψουν τα δεδομένα σας
Share
Δημοφιλή ακουστικά VR, όπως το Meta Quest ή το Apple Vision Pro, μπορούν να παραβιαστούν, με τους χάκερς να προσθέτουν ψεύτικες εμπειρίες που ονομάζονται “inception layers” και τους επιτρέπουν να χειρίζονται τον τρόπο με τον οποίο συμπεριφέρεται ο χρήστης. Επιστήμονες εντόπισαν μια αδυναμία σε ακουστικά εικονικής πραγματικότητας (VR) που θα μπορούσε να επιτρέψει σε χάκερ να έχουν πρόσβαση σε προσωπικές πληροφορίες χωρίς να το γνωρίζουν οι χρήστες.
Ένας χάκερ μπορεί να εισάγει ένα νέο “στρώμα” μεταξύ του χρήστη και της κανονικής πηγής εικόνας της συσκευής. Οι χάκερ μπορούν στη συνέχεια να αναπτύξουν μια ψεύτικη εφαρμογή στο σετ κεφαλής VR που μπορεί να ξεγελάσει τον χρήστη ώστε να συμπεριφερθεί με συγκεκριμένους τρόπους ή να παραδώσει τα δεδομένα του. Αυτό είναι γνωστό ως “στρώμα Inception”, παραπέμποντας στο θρίλερ επιστημονικής φαντασίας του Chris Nolan του 2010, στο οποίο πράκτορες κατασκοπείας διεισδύουν στο μυαλό ενός στόχου και εμφυτεύουν μια ιδέα που ο στόχος θεωρεί ότι είναι δική του.
Οι ερευνητές διαπίστωσαν διάφορες πιθανές οδούς εισόδου στο VR headset, που κυμαίνονται από την πρόσβαση στο δίκτυο Wi-Fi του θύματος έως την “παράλληλη φόρτωση” – η οποία είναι όταν ένας χρήστης εγκαθιστά μια εφαρμογή (πιθανώς φορτωμένη με κακόβουλο λογισμικό) από ένα ανεπίσημο κατάστημα εφαρμογών. Αυτές οι εφαρμογές στη συνέχεια είτε προσποιούνται ότι είναι το βασικό περιβάλλον VR είτε μια νόμιμη εφαρμογή.
Όλα αυτά είναι δυνατά επειδή τα VR headsets δεν διαθέτουν πρωτόκολλα ασφαλείας ούτε κατά διάνοια τόσο ισχυρά όσο σε πιο συνηθισμένες συσκευές όπως τα smartphones ή οι φορητοί υπολογιστές.
Χρησιμοποιώντας αυτό το νέο ψεύτικο στρώμα, οι χάκερ μπορούν στη συνέχεια να ελέγχουν και να χειρίζονται τις αλληλεπιδράσεις στο περιβάλλον VR. Ο χρήστης δεν θα γνωρίζει καν ότι βλέπει και χρησιμοποιεί ένα κακόβουλο αντίγραφο, ας πούμε, μιας εφαρμογής που χρησιμοποιεί για να τα πει με τους φίλους του.
Μερικά παραδείγματα για το τι θα μπορούσε να κάνει ένας επιτιθέμενος περιλαμβάνουν την αλλαγή του χρηματικού ποσού που μεταφέρεται – και του προορισμού του – σε οποιαδήποτε ηλεκτρονική συναλλαγή και την καταγραφή των διαπιστευτηρίων κάποιου κατά την είσοδο σε μια υπηρεσία. Οι χάκερ μπορούν ακόμη να προσθέσουν μια ψεύτικη εφαρμογή VRChat και να τη χρησιμοποιήσουν για να κρυφακούσουν μια συζήτηση ή να τροποποιήσουν τον ζωντανό ήχο χρησιμοποιώντας τεχνητή νοημοσύνη (AI) για να υποδυθούν έναν συμμετέχοντα.
Τα VR headsets έχουν τη δυνατότητα να προσφέρουν στους χρήστες μια βαθιά καθηλωτική εμπειρία συγκρίσιμη με την ίδια την πραγματικότητα. Η άλλη όψη αυτών των καθηλωτικών δυνατοτήτων είναι ότι, όταν γίνεται κακή χρήση, τα συστήματα VR μπορούν να διευκολύνουν επιθέσεις ασφαλείας με πολύ πιο σοβαρές συνέπειες από τις παραδοσιακές επιθέσεις.
Οι επιθέσεις VR μπορεί επίσης να είναι δύσκολο να εντοπιστούν επειδή το περιβάλλον έχει σχεδιαστεί έτσι ώστε να μοιάζει με τις αλληλεπιδράσεις στον πραγματικό κόσμο – αντί για τις προτροπές που βλέπετε στη συμβατική πληροφορική. Όταν δοκίμασαν το exploit σε 28 συμμετέχοντες, μόνο 10 εντόπισαν το προμήνυμα ότι μια επίθεση ήταν σε εξέλιξη – το οποίο ήταν μια φευγαλέα “δυσλειτουργία” στο οπτικό πεδίο, όπως ένα ελαφρύ τρεμόπαιγμα στην εικόνα.
Οι ερευνητές απαρίθμησαν αρκετούς πιθανούς μηχανισμούς άμυνας κατά τέτοιων επιθέσεων στο έγγραφό τους, αλλά δήλωσαν ότι οι κατασκευαστές θα πρέπει να εκπαιδεύουν τους χρήστες σχετικά με τυχόν ενδείξεις ότι τα ακουστικά τους δέχονται επίθεση. Σε αυτά περιλαμβάνονται μικρές οπτικές ανωμαλίες και δυσλειτουργίες.
Τέτοιες επιθέσεις θα μπορούσαν να γίνουν πιο συχνές με την πάροδο του χρόνου, πρόσθεσαν. Αλλά υπάρχει ακόμα χρόνος για εταιρείες όπως η Meta να κατασκευάσουν και να αναπτύξουν αντίμετρα πριν τα VR headsets γίνουν πιο δημοφιλή και οι εγκληματίες του κυβερνοχώρου τα θεωρήσουν βιώσιμο φορέα για να εξαπολύσουν επίθεση.