В системах виртуальной реальности нашли уязвимость
Ученые-компьютерщики из Чикагского университета обнаружили потенциальную уязвимость в системах виртуальной реальности. Это «слабое место» позволяет хакеру вставить то, что команда называет «начальным слоем», между главным экраном VR пользователя и пользовательским/серверным интерфейсом виртуальной реальности, пишет TechXplore.
Ученые представили сценарий, в котором хакеры могут добавить стороннее приложение к гарнитуре виртуальной реальности, которое обманом заставляет пользователей раскрыть конфиденциальную информацию.
Приложение как бы добавляет невидимый слой между пользователем и виртуальным миром, который он обычно видит при использовании своего VR-устройства. Ученые называют это «начальным слоем» или «слоем инцепции» (inception layer) в честь фильма «Начало», в котором персонажу Леонардо Ди Каприо в мозг загружается измененный слой реальности. Так же и здесь: пользователь думает, что он напрямую взаимодействует с VR-приложением, запущенным с главного экрана VR, хотя на самом деле он запускает смоделированное VR-приложение внутри «начального слоя» злоумышленника.
Как предполагают исследователи, этот дополнительный уровень позволит хакерам записывать информацию, например, пароль, введенный в виртуальный банкомат. Он также может перехватывать и изменять суммы денежных средств, предназначенных для покупки, и направлять разницу на банковский счет хакера.
Хакеры даже смогут добавить в мир виртуальной реальности изображения, например, персонажей, представляющих друзей или семью. Такая уловка позволит завоевать доверие и получить доступ к секретной информации. Приложение будет отслеживать или изменять жесты, голосовые сообщения, активность в интернете, а также социальные или деловые взаимодействия.
Такое приложение можно было бы загрузить на VR-устройство пользователя, если бы удалось взломать сеть Wi-Fi или получить физический доступ к гарнитуре. После установки оно работало бы без уведомления пользователя.
Исследователи провели эксперимент с 28 добровольцами, которые использовали гарнитуру виртуальной реальности, чтобы проверить возможность вмешательства в систему. Они загрузили приложение на устройства, имитируя взлом, и после этого спросили участников, заметили ли они что-либо необычное. Процесс загрузки и активации вызывал незначительное мерцание. Только 10 добровольцев заметили эти изменения, и только у одного из них возникли подозрения относительно возможного нарушения безопасности.
Исследовательская группа уведомила Meta*, создателей системы Meta Quest VR, которая использовалась в эксперименте, о своих выводах. Компания в ответ сообщила, что планирует изучить потенциальную уязвимость и исправить ее, если она подтвердится. Исследователи отмечают, что такие уязвимости, вероятно, существуют в других системах и типах приложений.
Ранее в «Лаборатории Касперского» обнаружили уязвимость в популярной умной детской игрушке. Рассказали, на что обратить внимание родителям.
Компания Meta* признана экстремистской организацией и запрещена в РФ.
