- كشفت دراسة جديدة أن الباحثين كشفوا عن ثغرة أمنية محتملة في سماعات الرأس VR الخاصة بشركة Meta.
- يسمح ما يسمى بـ “الهجوم الأولي” للمهاجم بالتجسس على بيئة الواقع الافتراضي للمستخدم والتحكم فيها.
- فقط حوالي ثلث المشاركين في الدراسة لاحظوا وجود خلل عندما تم اختطاف جلستهم.
وفقاً لدراسة جديدة، كشف الباحثون عن ثغرة أمنية كبيرة في سماعات الواقع الافتراضي الخاصة بشركة Meta.
ادعى فريق من الباحثين من جامعة شيكاغو أنهم وجدوا طريقة لاختراق سماعات الرأس MetaQuest دون علم المستخدم، مما يسمح لهم بالتحكم في بيئة الواقع الافتراضي للمستخدم وسرقة المعلومات ومعالجة التفاعلات بين المستخدمين.
أطلق الباحثون على هذه الإستراتيجية اسم “الهجوم الأولي”، وعرّفوها على أنها “هجوم يتحكم فيه المهاجم ويتلاعب بتفاعلات المستخدم مع بيئة الواقع الافتراضي الخاصة به عن طريق محاصرة المستخدم داخل تطبيق واقع افتراضي خبيث واحد يتنكر في هيئة نظام واقع افتراضي كامل.” “
وتأتي هذه الدراسة في الوقت الذي يواصل فيه مارك زوكربيرج، الرئيس التنفيذي لشركة Meta، التخلص من أكبر منافسيه في هذا المجال، Apple Vision Pro. وفي الأسبوع الماضي، قال زوكربيرج إن سماعة الرأس VR من أبل كانت “سيئة في معظم النواحي”.
ال يذاكرتم الإبلاغ عنه لأول مرة مراجعة تكنولوجيا معهد ماساتشوستس للتكنولوجيالم يتم مراجعة النظراء بعد.
لتنفيذ الهجوم، سيحتاج المتسللون إلى الاتصال بنفس شبكة Wi-Fi مثل مستخدم Quest، وفقًا للدراسة. وقال الباحثون إن سماعة الرأس يجب أن تكون في وضع المطور، حيث يمكن للعديد من مستخدمي MetaQuest الوصول إلى تطبيقات الطرف الثالث وضبط الدقة والتقاط لقطات الشاشة.
ومن هناك، تمكن الباحثون من زرع برامج ضارة في سماعة الرأس، مما سمح لهم بتثبيت شاشة رئيسية مزيفة تشبه تمامًا شاشة المستخدم الأصلية، ولكن يمكن للباحثين التحكم فيها.
هذه الشاشة الرئيسية المكررة هي في الأساس محاكاة داخل محاكاة.
وكتب الباحثون في الدراسة: “بينما قد يعتقد المستخدمون أنهم يتفاعلون بشكل طبيعي مع تطبيقات الواقع الافتراضي المختلفة، فإنهم يتفاعلون في الواقع في عالم محاكاة حيث يمكن للمهاجمين اعتراض كل ما يرونه ويسمعونه وبثه وتغييره”. .
أنشأ الباحثون إصدارات مستنسخة من تطبيق Meta Quest Browser وتطبيق VRChat. بمجرد تشغيل تطبيق المتصفح المستنسخ، تمكن الباحثون من التجسس على المستخدمين عند تسجيل الدخول إلى حسابات حساسة مثل البنك أو البريد الإلكتروني الخاص بهم.
لقد كانوا قادرين ليس فقط على رؤية ما كان يفعله المستخدم، ولكن أيضًا التعامل مع ما كان ينظر إليه المستخدم.
على سبيل المثال، وصف الباحثون موقفًا يقوم فيه المستخدم بتبادل الأموال. عندما يحاول مستخدم تحويل دولار واحد إلى مستخدم، يمكن للمهاجم تحويله إلى 5 دولارات في الواجهة الخلفية. وفي الوقت نفسه، لا يزال يظهر للمستخدم كـ $1، بما في ذلك شاشة التأكيد، لذلك لا يعرف المستخدم ما حدث.
ولاختبار عملية الهجوم الأولية مع أشخاص حقيقيين، طلب الباحثون من 27 مشاركًا في الدراسة ارتداء سماعات رأس الواقع الافتراضي أثناء قيامهم بالهجوم. وجدت الدراسة أن ثلث المستخدمين فقط لاحظوا حدوث عطل عندما تم الاستيلاء على جلستهم، ورفض جميع المستخدمين، باستثناء مستخدم واحد، ذلك باعتباره مشكلة عادية في الأداء.
لم تستجب ميتا على الفور لطلب Business Insider للتعليق، لكن متحدث باسم MIT Technology Review قالوا إنهم سيراجعون الدراسة، مضيفًا: “نحن نواصل العمل مع الباحثين الأكاديميين كجزء من برنامج مكافآت الأخطاء لدينا ومبادرات أخرى”.
/cdn.vox-cdn.com/uploads/chorus_asset/file/24371483/236494_Mac_mini__2023__AKrales_0066.jpg "لقد استبدلت جهاز MacBook الخاص بي وأنا الآن بديل لسطح المكتب")
