RANJIVOST SOFTVERA

Simulacija u simulaciji: Stručnjaci upozoravaju na veliki problem kod uređaja za virtualnu stvarnost

Kako uređaji za virtualnu i proširenu stvarnost poput Appleova Visiona Pro i Metinih modela Questa budu sve popularniji, ne treba sumnjati da će oni postati zanimljivi i hakerima i kibernetičkim kriminalcima. Kao i za računare i telefone, oni će pokušati pronaći ranjivosti u softveru i pokušati ih iskoristiti za različite vrste napada.

Takvi su napadi već sada mogući na Metinim VR uređajima Quest, pokazalo je nedavno istraživanje naučnika sa univerziteta iz Chicaga. Treba naglasiti kako do sada nije zabilježen konkretan napad, već se ovdje radi samo o istraživanju tokom kojeg su u kontroliranim uvjetima naučnici uspjeli preuzeti kontrolu nad VR okolinom, ukrasti informacije te čak upravljati interakcijama između samih korisnika.

U svom radu u kojem je opisan ovaj napad, a koji još nije prošao recenzije naučnika, opisali su kako je moguće korisnike zarobiti unutar jedne maliciozne VR aplikacije koja imitira cijeli VR sistem i zahvaljujući kojoj napadači mogu kontrolirati i manipulirati interakcijom korisnika sa svojom okolinom virtualne stvarnosti.

Da bi napad uspio, potrebno je ispuniti dva preduvjeta. Prvi je da sam uređaj mora biti u developerskom modu, što u biti mnogi vlasnici i koriste jer im omogućuje pristup nekim aplikacijama trećih strana, podešavanje rezolucije i uzimanje snimaka ekrana, objasnili su na Business Insideru. Druga važna stvar jest da napadači moraju biti povezani na istu WiFi mrežu kao i korisnici Questa. Kada su bila zadovoljena ova dva uvjeta, naučnici su u uređaj uspjeli ubaciti malware koji se maskirao kao početni ekran, a izgleda identično stvarnom početnom ekranu te su naučnici mogli manipulirati s prikazom na takvom ekranu. Dvostruki početni ekran je u biti simulacija unutar simulacije, objasnili su na Business Insideru.

Naučnici su napravili klonirane verzije Meta Quest preglednika internetskih stranica i VRChat aplikacije i dok su te aplikacije bile pokrenute, mogli su špijunirati korisnike dok su se prijavljivali u svoje račune, uključujući i email, ali bankovne račune. Pri tome su ne samo mogli vidjeti što korisnici rade, već i manipulirati s prikazom. Npr. u situaciji u kojoj korisnici prebacuju 1 dolar, napadači su tu cifru promijenili na 5 dolara, bez znanja samih korisnika.

Dok korisnici misle da imaju normalnu interakciju s različitim VR aplikacijama, u biti imaju interakciju unutar simuliranog svijeta, gdje se sve što vide i čuju presreće, prenosi, a moguće i mijenja od strane napadača, objasnili su naučnici način na koji djeluje takav napad.

U njihovoj studiji sudjelovalo je 27 osoba te je samo trećina primijetila nekakve probleme i greške tokom interakcije s ovim uređajem, no svi su mislili kako je riječ o nekakvim normalnim greškama za takav tip uređaja.