- 9,431
- 18
- 8 Ноя 2022
В вашем VR-шлеме может быть посторонний.
В Для просмотра ссылки Войдиили Зарегистрируйся Чикагского Университета описывается уязвимость в VR -системе Meta* Quest, позволяющая злоумышленникам захватывать устройства пользователей, похищать конфиденциальную информацию и с помощью генеративного ИИ манипулировать социальными взаимодействиями.
Для осуществления атаки, получившей название «Inception Attack», необходим доступ к Wi-Fi сети пользователя VR-гарнитуры. В случае успеха жертвы становятся уязвимы для фишинга , мошенничества и других угроз.
Киберпреступник должен создать приложение, которое внедряет вредоносный код в систему Meta Quest, а затем запустить копию главного экрана и приложения и следить, записывать и изменять все действия пользователя в VR, включая голосовые команды, жесты, активность в браузере и социальные взаимодействия.
Скриншоты реального окна браузера Meta Quest (слева) и его копии (справа)
В рамках исследования было продемонстрировано, как злоумышленник мог изменять информацию на экране пользователя, например, показывая неверный баланс банковского счета, и даже изменять суммы переводов без ведома пользователя.
Использование генеративного ИИ может усугубить положение, позволяя мгновенно клонировать голоса людей и создавать визуальные дипфейки для манипуляций взаимодействий в VR-пространстве.
Клонирование голоса позволило изменить голосовое сообщение собеседника
Эксперимент с участием 27 добровольцев-экспертов в области VR показал, что большинство из них не подозревало о наличии атаки, лишь один участник заметил подозрительную активность. Представитель Meta сообщил о планах компании изучить результаты исследования и подчеркнул сотрудничество с академическими кругами в рамках программы поиска уязвимостей.
<span style="font-size: 8pt;">* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.</span>
В Для просмотра ссылки Войди
Для осуществления атаки, получившей название «Inception Attack», необходим доступ к Wi-Fi сети пользователя VR-гарнитуры. В случае успеха жертвы становятся уязвимы для фишинга , мошенничества и других угроз.
Киберпреступник должен создать приложение, которое внедряет вредоносный код в систему Meta Quest, а затем запустить копию главного экрана и приложения и следить, записывать и изменять все действия пользователя в VR, включая голосовые команды, жесты, активность в браузере и социальные взаимодействия.
Скриншоты реального окна браузера Meta Quest (слева) и его копии (справа)
В рамках исследования было продемонстрировано, как злоумышленник мог изменять информацию на экране пользователя, например, показывая неверный баланс банковского счета, и даже изменять суммы переводов без ведома пользователя.
Использование генеративного ИИ может усугубить положение, позволяя мгновенно клонировать голоса людей и создавать визуальные дипфейки для манипуляций взаимодействий в VR-пространстве.
Клонирование голоса позволило изменить голосовое сообщение собеседника
Эксперимент с участием 27 добровольцев-экспертов в области VR показал, что большинство из них не подозревало о наличии атаки, лишь один участник заметил подозрительную активность. Представитель Meta сообщил о планах компании изучить результаты исследования и подчеркнул сотрудничество с академическими кругами в рамках программы поиска уязвимостей.
<span style="font-size: 8pt;">* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.</span>
- Источник новости
- www.securitylab.ru
