- Sebuah studi baru mengungkapkan bahwa para peneliti telah menemukan potensi kerentanan keamanan pada headset VR Meta.
- Apa yang disebut “serangan priming” memungkinkan penyerang memata-matai dan mengendalikan lingkungan realitas virtual pengguna.
- Hanya sepertiga peserta penelitian yang menyadari kesalahan tersebut ketika sesi mereka diretas.
Para peneliti telah menemukan potensi kelemahan keamanan besar pada headset realitas virtual Meta, menurut sebuah studi baru.
Sebuah tim peneliti dari Universitas Chicago mengatakan mereka telah menemukan cara untuk meretas headset Meta Quest tanpa sepengetahuan pengguna, memungkinkan mereka untuk mengontrol lingkungan realitas virtual pengguna, mencuri informasi, dan bahkan memanipulasi interaksi antar pengguna.
Para peneliti menyebut strategi ini sebagai “serangan priming,” yang mereka definisikan sebagai “serangan yang dikendalikan penyerang yang memanipulasi interaksi pengguna dengan lingkungan VR mereka, dengan menjebak pengguna dalam satu aplikasi VR berbahaya yang menyamar sebagai sistem VR penuh.”
Studi ini muncul ketika CEO Meta Mark Zuckerberg terus membuang Apple Vision Pro, pesaing terbesarnya di bidangnya. Pekan lalu, Zuckerberg mengatakan headset realitas virtual Apple “lebih buruk dalam banyak hal.”
itu diamyang pertama kali dilaporkan oleh Tinjauan Teknologi MITbelum ditinjau sejawat.
Untuk melakukan serangan, para peretas harus terhubung ke jaringan WiFi yang sama dengan pengguna Quest, menurut penelitian. Headset juga harus dalam mode pengembang, yang menurut peneliti banyak pengguna Meta Quest tetap mengaktifkan aplikasi pihak ketiga, menyesuaikan resolusi, dan mengambil tangkapan layar.
Dari sana, para peneliti dapat menanam malware di headphone, memungkinkan mereka memasang layar beranda palsu yang tampak identik dengan layar asli pengguna, namun dapat dikontrol oleh para peneliti.
Layar beranda duplikat ini pada dasarnya adalah simulasi dalam simulasi.
“Meskipun pengguna yakin bahwa mereka berinteraksi secara normal dengan berbagai aplikasi VR, mereka sebenarnya berinteraksi dalam dunia simulasi, di mana segala sesuatu yang mereka lihat dan dengar dicegat, dikirim, dan mungkin diubah oleh penyerang,” tulis para peneliti dalam penelitian tersebut. .
Para peneliti membuat versi kloning dari aplikasi Meta Quest Browser dan aplikasi VRChat. Setelah replika aplikasi browser berjalan, para peneliti dapat memata-matai pengguna saat mereka masuk ke akun sensitif, seperti bank atau email.
Mereka tidak hanya mampu melihat apa yang dilakukan pengguna, namun juga memanipulasi apa yang dilihat pengguna.
Misalnya, peneliti menggambarkan situasi di mana pengguna mentransfer uang. Saat pengguna mencoba mentransfer $1 ke seseorang, penyerang dapat mengubah jumlah tersebut menjadi $5 di backend. Sementara itu, masih muncul sebagai $1 kepada pengguna, termasuk di layar konfirmasi, sehingga pengguna tidak mengetahui apa yang terjadi.
Untuk menguji proses awal penyerangan dengan orang sungguhan, peneliti meminta 27 partisipan penelitian untuk berinteraksi dengan headset virtual reality saat melakukan penyerangan. Studi tersebut mengatakan bahwa hanya sepertiga pengguna yang menyadari kelemahan tersebut ketika sesi mereka dibajak, dan semua kecuali satu pengguna mengaitkannya dengan masalah kinerja normal.
Meta tidak segera menanggapi permintaan komentar dari Business Insider, namun juru bicara MIT Technology Review mengatakan mereka akan meninjau penelitian tersebut, menambahkan: “Kami terus bekerja dengan peneliti akademis sebagai bagian dari program bug bounty kami dan inisiatif lainnya.”
More Stories
“Akumulasi daging dalam jumlah besar” dan frasa meresahkan lainnya dari inspeksi USDA terhadap pabrik kepala babi
Bocoran rencana pengumuman PS5 Pro dan desain perangkat
Rilis fisik Castlevania Dominus Collection dikonfirmasi, pre-order dibuka bulan depan