Kako uređaji za virtualnu i proširenu stvarnost poput Appleova Visiona Pro i Metinih modela Questa budu sve popularniji, ne treba sumnjati da će oni postati zanimljivi i hakerima i kibernetičkim kriminalcima. Kao i za računala i telefone, oni će pokušati pronaći ranjivosti u softveru i pokušati ih iskoristiti za različite vrste napada.
Takvi su napadi već sada mogući na Metinim VR uređajima Quest, pokazalo je nedavno istraživanje znanstvenika sa sveučilišta iz Chicaga. Treba naglasiti kako do sada nije zabilježen konkretan napad, već se ovdje radi samo o istraživanju tijekom kojeg su u kontroliranim uvjetima znanstvenici uspjeli preuzeti kontrolu nad VR okolinom, ukrasti informacije te čak upravljati interakcijama između samih korisnika.
U svom radu u kojem je opisan ovaj napad, a koji još nije prošao recenzije znanstvenika, opisali su kako je moguće korisnike zarobiti unutar jedne maliciozne VR aplikacije koja imitira cijeli VR sustav i zahvaljujući kojoj napadači mogu kontrolirati i manipulirati interakcijom korisnika sa svojom okolinom virtualne stvarnosti.
Da bi napad uspio, potrebno je ispuniti dva preduvjeta. Prvi je da sam uređaj mora biti u developerskom modu, što u biti mnogi vlasnici i koriste jer im omogućuje pristup nekim aplikacijama trećih strana, podešavanje rezolucije i uzimanje snimaka ekrana, objasnili su na Business Insideru. Druga važna stvar jest da napadači moraju biti povezani na istu WiFi mrežu kao i korisnici Questa. Kada su bila zadovoljena ova dva uvjeta, znanstvenici su u uređaj uspjeli ubaciti malware koji se maskirao kao početni ekran, a izgleda identično stvarnom početnom ekranu te su znanstvenici mogli manipulirati s prikazom na takvom ekranu. Dvostruki početni ekran je u biti simulacija unutar simulacije, objasnili su na Business Insideru.
Znanstvenici su napravili klonirane verzije Meta Quest preglednika internetskih stranica i VRChat aplikacije i dok su te aplikacije bile pokrenute, mogli su špijunirati korisnike dok su se prijavljivali u svoje račune, uključujući i email, ali bankovne račune. Pri tome su ne samo mogli vidjeti što korisnici rade, već i manipulirati s prikazom. Npr. u situaciji u kojoj korisnici prebacuju 1 dolar, napadači su tu cifru promijenili na 5 dolara, bez znanja samih korisnika.
Dok korisnici misle da imaju normalnu interakciju s različitim VR aplikacijama, u biti imaju interakciju unutar simuliranog svijeta, gdje se sve što vide i čuju presreće, prenosi, a moguće i mijenja od strane napadača, objasnili su znanstvenici način na koji djeluje takav napad.
U njihovoj studiji sudjelovalo je 27 osoba te je samo trećina primijetila nekakve probleme i greške tijekom interakcije s ovim uređajem, no svi su mislili kako je riječ o nekakvim normalnim pogreškama za takav tip uređaja.
