I visori Meta VR possono intrappolare gli utenti in un ambiente illusorio: lo studio

• Un nuovo studio ha rivelato che i ricercatori hanno scoperto una potenziale vulnerabilità della sicurezza nel visore VR di Meta.
• Il cosiddetto “attacco di priming” consente a un utente malintenzionato di spiare e controllare l'ambiente di realtà virtuale dell'utente.
• Solo un terzo dei partecipanti allo studio ha notato il problema tecnico quando la loro sessione è stata violata.

Secondo un nuovo studio, i ricercatori hanno scoperto una falla di sicurezza potenzialmente grave nei visori per realtà virtuale di Meta.

Un team di ricercatori dell'Università di Chicago ha affermato di aver scoperto un modo per hackerare i visori Meta Quest all'insaputa dell'utente, consentendo loro di controllare l'ambiente di realtà virtuale dell'utente, rubare informazioni e persino manipolare le interazioni tra gli utenti.

I ricercatori hanno definito questa strategia un “attacco di priming”, che hanno definito come “un attacco controllato da un utente malintenzionato che manipola l’interazione di un utente con il suo ambiente VR, intrappolando l’utente all’interno di una singola applicazione VR dannosa che si maschera da sistema VR completo”.

Questo studio arriva mentre il CEO di Meta Mark Zuckerberg continua a scaricare l’Apple Vision Pro, il suo più grande concorrente sul campo. La settimana scorsa, Zuckerberg ha affermato che i visori per la realtà virtuale di Apple erano “peggiori sotto molti aspetti”.

IL Stareche è stato segnalato per la prima volta da Revisione della tecnologia del MITnon è stato ancora sottoposto a peer review.

Secondo lo studio, per sferrare l'attacco gli hacker dovevano essere collegati alla stessa rete WiFi dell'utente Quest. L'auricolare deve anche essere in modalità sviluppatore, che secondo i ricercatori molti utenti di Meta Quest mantengono abilitato per ottenere app di terze parti, regolare la risoluzione e acquisire screenshot.

Da lì, i ricercatori sono stati in grado di installare malware sulle cuffie, consentendo loro di installare una schermata iniziale falsa che sembrava identica allo schermo originale dell'utente, ma che i ricercatori potevano controllare.

Questa schermata iniziale duplicata è essenzialmente una simulazione all'interno di una simulazione.

“Mentre l'utente crede di interagire normalmente con varie applicazioni VR, in realtà sta interagendo all'interno di un mondo simulato, dove tutto ciò che vede e sente viene intercettato, trasmesso e possibilmente alterato dall'aggressore”, hanno scritto i ricercatori nello studio. .

I ricercatori hanno creato versioni clonate dell'app Meta Quest Browser e dell'app VRChat. Una volta eseguita la replica dell'app del browser, i ricercatori sono stati in grado di spiare gli utenti mentre accedevano ad account sensibili, come la banca o la posta elettronica.

Erano in grado non solo di vedere cosa stava facendo l'utente, ma anche di manipolare ciò che l'utente stava vedendo.

Ad esempio, i ricercatori hanno descritto una situazione in cui un utente trasferisce denaro. Mentre l'utente tenta di trasferire $ 1 a qualcuno, l'aggressore può modificare l'importo in $ 5 sul back-end. Nel frattempo, all'utente appare ancora come $ 1, anche nella schermata di conferma, quindi l'utente non è a conoscenza di cosa sia successo.

Per testare il processo di attacco iniziale con persone reali, i ricercatori hanno chiesto a 27 partecipanti allo studio di interagire con visori di realtà virtuale durante l’esecuzione dell’attacco. Lo studio ha affermato che solo un terzo degli utenti ha notato il difetto quando la loro sessione è stata compromessa e tutti gli utenti tranne uno lo hanno attribuito a un normale problema di prestazioni.

Meta non ha risposto immediatamente alla richiesta di commento di Business Insider, ma un portavoce del MIT Technology Review ha detto che avrebbe rivisto lo studio, aggiungendo: “Lavoriamo continuamente con ricercatori accademici come parte del nostro programma bug bounty e altre iniziative”.