Атаки на виртуальную реальность могут манипулировать изображением и красть личные данные

21 марта 2024, 20:13 / Технологии → Новости / Технологии

Гарнитуры виртуальной реальности призваны приблизить нас, как никогда, к иммерсивным технологиям, обещанным классикой научной фантастики, такой как «Снежная катастрофа» Нила Стивенсона (1992) и ее действительно крутой «Метавселенной», но теперь исследователи продемонстрировали атаки с захватом виртуальной реальности, близкие к научно-фантастическому шпионажу. а-ля Начало (2010) [ч/т Хакстер ].

Однако название этих VR-кибератак как «иммерсивный захват» или «первоначальные атаки» по-прежнему не должно внушать доверия. К счастью, исследователи, дебютировавшие и раскрывшие эти концепции в своей статье Корнелльского университета ( « Начальные атаки: иммерсивный захват систем виртуальной реальности »), также описывают «потенциальную начальную защиту», и на данный момент атака, по крайней мере, ограничена гарнитурами Meta Quest VR

Thumbnail: VR Group VR Group (фин. VR-Yhtymä Oy, швед. VR-Group Ab) — государственная железнодорожная компания Финляндии. Занимается грузовыми и пассажирскими железнодорожными перевозками. Википедия

«Иммерсивный захват» работает за счет использования так называемого «начального уровня VR» между пользователем и обычной версией его операционной системы. Злоумышленник может перехватывать и контролировать все взаимодействия пользователя с внутренними приложениями, внешними серверами и т. д..

Атака довольно всеобъемлющая, но давайте сузим ее до охватываемых векторов атак. Во-первых, похоже, что на 27 добровольцах не проверялись правильные атаки, а только их способность замечать, когда происходит угон во время обычного сеанса Beat Sabre. Единственным визуальным сигналом было мерцание домашнего экрана перед игрой, и все, кроме одного из десяти человек, заметивших это, объяснили это безобидным системным сбоем.

Кроме того, на устройствах присутствовали вредоносные клоны VRChat. По словам Хизер Чжэн, профессора Чикагского университета и руководителя исследования в интервью MIT Technology Review, «Генераторный ИИ может еще больше усугубить эту угрозу, поскольку он позволяет любому мгновенно клонировать голоса людей и создавать визуальные дипфейки».

Самое зловещее то, что клонированный браузер также продемонстрировал способность полностью перехватить сеанс веб-банкинга. Это включало изменение баланса, который мог видеть пользователь, и даже активное изменение сумм, отправляемых конечным пользователем, полностью лишая его контроля над процессом онлайн-банкинга таким образом, что кто-то, кого это коснулось, мог обанкротиться, даже не подозревая об этом.

Это показывает, что по мере того, как виртуальная реальность продолжает развиваться, меры кибербезопасности должны будут развиваться вместе с ней. Более технически захватывающее и более безопасное — не обязательно одно и то же.