Исследователи научились взламывать и модифицировать виртуальное пространство, с которым взаимодействуют пользователи

Атака (она получила название inception attack) позволяет хакерам управлять и манипулировать тем, как пользователь взаимодействует с VR-пространством внутри вредоносных VR-приложений, которые замаскированы под полноценные VR-системы.

Хакер должен быть подключён к той же сети WiFi, что и его жертва. Также гарнитура должна быть в «Режиме разработчика», который, по словам исследователей, многие пользователи оставляют включённым, чтобы устанавливать сторонние приложения, настраивать разрешение и делать скриншоты.

Исследователям удалось внедрить в гарнитуру зловредный софт, который позволил отображать фейковый экран, на вид идентичный настоящему — по сути, это была симуляция внутри симуляции. Разница в том, что он находился под управлением исследователей, которые могли перехватывать и подменять то, что видит и слышит ничего не подозревающий пользователь.

Например, они создали клоны Meta Quest Browser и VRChat. Копия браузера позволяла следить за тем, что пользователь делает в интернете и как вводит чувствительные банковские данные и авторизуется в почте.

В одном случае исследователи вмешались в процедуру перевода денег. Пользователь пытался отправить $1, однако они подменили цифру на бэкенде на $5. При этом у пользователя, который ни о чём не догадался, по-прежнему отображался $1 — в том числе на экране подтверждения.

В эксперименте с атакой участвовало 27 человек. Лишь треть из них заметила неладное, но все, кроме одного, приняли это за обычные проблемы в работе гарнитуры.

Научная работа, посвящённая атаке, пока ожидает рецензии.