در جدیدترین اخبار منتشر شده در صنعت تکنولوژی مطلع شدیم که با اعلام محققان هکرها میتوانند کاربران هدستهای VR متا را در یک فضای تقلبی به دام بیندازند.
براساس گزارش منتشر شده توسط رسانه businessinsider مطلع شدیم که تیمی از محققان دانشگاه شیکاگو یک آسیب پذیری امنیتی بالقوه را در هدستهای واقعیت مجازی متا پیدا کردهاند. محققان دراینباره اظهار داشتند که راهی برای هک کردن هدستهای متا کوئست بدون اطلاع کاربر پیدا کردهاند که به آنها اجازه میدهد محیط VR کاربر را کنترل کرده و اطلاعات آنها را به سرقت ببرند و حتی تعاملات بین کاربران را دستکاری کنند.
محققان این استراتژی را یک «حمله اینسپشن» نامیدند و آن را به عنوان «حملهای که در آن هکرها تعامل کاربران هدستها متا را با محیط VR خود کنترل و دستکاری میکند، با به دام انداختن کاربر در داخل یک برنامه واقعیت مجازی مخرب واحد که به عنوان یک سیستم VR کامل ظاهر میشود (یک فضای تقلبی) تعریف کردند».
شایان ذکر است که این مطالعه که برای اولین بار توسط MIT Technology Review گزارش شد و هنوز توسط همتایان مورد بررسی قرار نگرفته است. برای انجام این حمله، هکرها باید به همان شبکه وایفای کاربر هدست متصل شوند. این هدست همچنین باید در حالت توسعهدهنده قرار بگیرد، که به گفته محققان بسیاری از کاربران این هدستها برای دریافت اپلیکیشنهای شخص ثالث، تنظیم وضوح و گرفتن اسکرینشات، آن را فعال نگه میدارند.
این مطالعه در حالی انجام میشود که مارک زاکربرگ، مدیرعامل متا، نقدهای بسیاری بر اپل ویژن پرو، رقیب اصلی خود را در فضای واقعیت مجازی، وارد کرده است. هفته گذشته، زاکربرگ در اظهارات خود بیان کرد که هدست واقعیت مجازی اپل از بسیاری جهات بدتر از هدستهای متا میباشد.
همانطور که محققان اعلام کردند، از طریق شبکه وایفای مشترک و نفوذ در حالت توسعهدهنده، آنها توانستند بدافزار خود را روی هدست نصب کنند که به آنها اجازه نصب یک صفحه اصلی ساختگی را داد و شبیه صفحه اصلی کاربر بود اما با این حال محققان میتوانستند صفحه ساختگی را کنترل کنند. قراردادن صفحه ساختگی در مقابل کاربر به نوعی انجام یک فرایند شبیهسازی در یک شبیهسازی دیگر است؛ به همین دلیل محققان به این نوع حمله اینسپشن یا تلقین نام دادهاند.
محققان نسخههای شبیهسازی شده مرورگر متا کوئست و برنامه VRChat را ایجاد کردند. هنگامی که برنامه مرورگر کپی در حال اجرا بود، محققان توانستند کاربران را در حین ورود به حسابهای حساس مانند بانک یا ایمیل خود ردیابی کنند و اطلاعات آنها را به سرقت ببرند. آنها نه تنها میتوانستند آنچه کاربر انجام میدهد را ببینند، بلکه میتوانستند آنچه کاربر میدید را نیز دستکاری کنند.
به عنوان مثال، محققان وضعیتی را توصیف کردند که در آن کاربر در حال انتقال پول است. در حالی که کاربر سعی می کند ۱ دلار را به شخصی منتقل کند، مهاجم می تواند مبلغ را به ۵ دلار تغییر دهد. در همین حال، کاربر هنوز ۱ دلار رل بر روی نمایشگر مشاهده میکند، از جمله در صفحه تأیید، بنابراین کاربر از آنچه اتفاق افتاده است، بیاطلاع خواهد ماند.
برای آزمایش فرآیند حمله اینسپشن با افراد واقعی، محققان از ۲۷ شرکت کننده در مطالعه خواستند در حین انجام حمله با هدستهای واقعیت مجازی تعامل داشته باشند. این مطالعه نشان داد که تنها یک سوم از کاربران حتی در هنگام سرقت متوجه این مشکل شدهاند. با ما همراه باشید در صورت انتشار اخبار جدید در رابطه با این موضوع بلافاصله آن را با شما به اشتراک خواهیم گذاشت. همچنین شما نیز میتوانید نظرات خود را در رابطه با حمله اینسپشن و امکان سرقت اطلاعات کاربران هدستهای VR متا با ما در میان بگذارید.
