Man mano che i dispositivi di realtà virtuale e aumentata come i modelli Vision Pro di Apple e Quest di Meta diventano sempre più popolari, non c'è dubbio che diventeranno interessanti sia per gli hacker che per i criminali informatici. Come con i computer e i telefoni, cercheranno di individuare le vulnerabilità nei software e di utilizzarli per diversi tipi di attacchi.
Secondo un nuovo studio, i ricercatori hanno messo in luce una vulnerabilità di sicurezza potenzialmente grave con i visori per realtà virtuale di Meta. Un team di ricercatori dell'Università di Chicago ha affermato di aver trovato un modo per hackerare i visori Meta Quest senza che l'utente lo sappia, consentendo loro di controllare l'ambiente VR dell'utente, rubare informazioni e persino manipolare le interazioni tra gli utenti.
I ricercatori hanno definito la strategia un "attacco iniziale", che hanno definito come "un attacco in cui l'aggressore controlla e manipola l'interazione dell'utente con il suo ambiente VR, intrappolando l'utente all'interno di una singola applicazione VR dannosa che si maschera da sistema VR completo."
In altre parole, hanno descritto come sia possibile intrappolare gli utenti all'interno di un'applicazione VR dannosa che imita l'intero sistema VR e grazie alla quale gli aggressori possono controllare e manipolare l'interazione dell'utente con il suo ambiente di realtà virtuale compromesso.
Affinché l’attacco abbia successo, devono essere soddisfatti due prerequisiti. Il primo è che il dispositivo stesso deve essere in modalità sviluppatore, che molti proprietari utilizzano effettivamente perché consente loro di accedere ad alcune applicazioni di terze parti, regolare la risoluzione e acquisire screenshot, ha spiegato Business Insider. Un altro punto importante è che gli aggressori devono essere connessi alla stessa rete WiFi degli utenti Quest.
Quando queste due condizioni sono state soddisfatte, gli scienziati sono stati in grado di inserire malware nel dispositivo mascherato da schermata iniziale, che sembra identica alla schermata iniziale reale, e gli scienziati sono stati in grado di manipolare la visualizzazione su tale schermo. La doppia schermata iniziale è essenzialmente una simulazione nella simulazione, ha spiegato Business Insider.
Gli scienziati hanno creato versioni clonate del browser Web Meta Quest e dell'app VRChat e, mentre tali app erano in esecuzione, sono stati in grado di spiare gli utenti mentre accedevano ai loro account, inclusi account di posta elettronica e bancari. In tal modo, non solo potevano vedere cosa stavano facendo gli utenti, ma anche manipolare il display. Per esempio in una situazione in cui gli utenti trasferiscono 1 dollaro, gli aggressori hanno cambiato tale cifra in 5 dollari, all’insaputa degli utenti stessi.
"Mentre gli utenti pensano di interagire normalmente con diverse applicazioni VR, in realtà interagiscono all'interno di un mondo simulato, dove tutto ciò che vedono e sentono viene intercettato, trasmesso e possibilmente modificato dagli aggressori", hanno spiegato gli scienziati come funziona un simile attacco.
27 persone hanno partecipato al loro studio e solo un terzo ha notato alcuni problemi ed errori durante l'interazione con questo dispositivo, ma tutti hanno pensato che si trattasse di errori normali per questo tipo di dispositivo.
Va tuttavia sottolineato che finora non è stato registrato alcun attacco specifico, ma si tratta solo di una ricerca durante la quale, in condizioni controllate, gli scienziati sono riusciti a prendere il controllo dell'ambiente VR, rubare informazioni e persino gestire le interazioni tra gli utenti stessi.