Meta VR 헤드셋은 사용자를 환상적인 환경에 가둘 수 있습니다: 연구

Meta VR 헤드셋은 사용자를 환상적인 환경에 가둘 수 있습니다: 연구

Meta 작업자가 2022년 12월 7일 브뤼셀의 Meta 쇼룸에서 Meta Quest VR 헤드셋을 사용하고 있습니다.
Kenzo Tripouillard/AFP/게티 이미지

  • 새로운 연구에 따르면 연구원들은 Meta의 VR 헤드셋에서 잠재적인 보안 취약점을 발견했습니다.
  • 소위 '프라이밍 공격'은 공격자가 사용자의 가상 현실 환경을 염탐하고 제어할 수 있게 해줍니다.
  • 세션이 해킹되었을 때 연구 참가자 중 3분의 1만이 결함을 발견했습니다.

새로운 연구에 따르면 연구원들은 Meta의 가상 현실 헤드셋에서 잠재적으로 심각한 보안 결함을 발견했습니다.

시카고대학교 연구팀은 사용자가 모르는 사이에 메타퀘스트 헤드셋을 해킹해 사용자의 가상 현실 환경을 제어하고, 정보를 훔치고, 사용자 간 상호작용까지 조작할 수 있는 방법을 발견했다고 밝혔다.

연구원들은 이 전략을 “프라이밍 공격”이라고 불렀습니다. “전체 VR 시스템으로 가장하는 단일 악성 VR 애플리케이션 내에 사용자를 가두어 사용자와 VR 환경의 상호 작용을 조작하는 공격자가 제어하는 ​​공격”으로 정의했습니다.

이 연구는 Meta CEO인 Mark Zuckerberg가 해당 분야의 가장 큰 경쟁자인 Apple Vision Pro를 계속해서 버리는 가운데 나온 것입니다. 지난 주 저커버그는 애플의 가상현실 헤드셋이 “대부분의 면에서 더 나빴다”고 말했다.

그만큼 스테디에 의해 처음 보고되었습니다. MIT 기술 검토아직 동료 검토가 이루어지지 않았습니다.

연구에 따르면 공격을 수행하기 위해 해커는 Quest 사용자와 동일한 Wi-Fi 네트워크에 연결되어 있어야 했습니다. 헤드셋은 또한 개발자 모드에 있어야 하는데, 연구원들은 많은 Meta Quest 사용자가 타사 앱을 다운로드하고, 해상도를 조정하고, 스크린샷을 찍기 위해 계속 활성화되어 있다고 말했습니다.

거기서부터 연구원들은 헤드폰에 악성 코드를 심어 사용자의 원래 화면과 동일해 보이지만 연구원들이 제어할 수 있는 가짜 홈 화면을 설치할 수 있었습니다.

이 복제된 홈 화면은 본질적으로 시뮬레이션 내의 시뮬레이션입니다.

연구원들은 연구에서 “사용자는 다양한 VR 애플리케이션과 정상적으로 상호 작용하고 있다고 생각하지만 실제로는 시뮬레이션된 세계 내에서 상호 작용하고 있으며 보고 듣는 모든 것이 공격자에 의해 가로채어 전송되고 변경될 수 있습니다.”라고 썼습니다. .

연구원들은 Meta Quest Browser 앱과 VRChat 앱의 복제 버전을 만들었습니다. 브라우저 앱의 복제본이 실행되자 연구원들은 사용자가 은행이나 이메일과 같은 민감한 계정에 로그인하는 것을 감시할 수 있었습니다.

그들은 사용자가 무엇을 하고 있는지 볼 수 있을 뿐만 아니라 사용자가 보고 있는 것을 조작할 수도 있었습니다.

예를 들어, 연구자들은 사용자가 돈을 이체하는 상황을 설명했습니다. 사용자가 누군가에게 1달러를 전송하려고 시도하는 동안 공격자는 백엔드에서 금액을 5달러로 변경할 수 있습니다. 한편, 확인 화면을 포함하여 사용자에게는 여전히 $1로 표시되므로 사용자는 무슨 일이 일어났는지 알지 못합니다.

실제 사람들을 대상으로 초기 공격 프로세스를 테스트하기 위해 연구원들은 27명의 연구 참가자에게 공격을 수행하는 동안 가상 현실 헤드셋과 상호 작용하도록 요청했습니다. 연구에 따르면 세션이 하이재킹되었을 때 사용자 중 3분의 1만이 결함을 발견했으며 한 명을 제외한 모든 사용자는 이를 정상적인 성능 문제로 인한 것으로 생각했습니다.

Meta는 Business Insider의 의견 요청에 즉시 응답하지 않았지만 MIT Technology Review 대변인은 연구를 검토할 것이라고 말하면서 “우리는 버그 현상금 프로그램 및 기타 계획의 일환으로 학계 연구자들과 지속적으로 협력하고 있습니다”라고 덧붙였습니다.

Son Youngjae

"맥주 괴짜. 사악한 대중 문화 닌자. 평생 커피 학자. 전문 인터넷 전문가. 육류 전문가."

Learn More →

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다