Команда компьютерных ученых из Чикагского университета обнаружила потенциальную уязвимость в системах виртуальной реальности, которая может позволить хакеру вставить то, что команда называет «начальным слоем» между главным экраном VR пользователя и его пользователем/сервером VR. Команда разместила документ с описанием своей работы и результатов на сервере препринтов arXiv.

Системы виртуальной реальности позволяют пользователям взаимодействовать в виртуальном мире, где возможно практически все, что только можно себе представить. В рамках этой новой работы исследовательская группа представила сценарий, в котором хакеры могут добавить приложение к гарнитуре виртуальной реальности пользователя, которое обманом заставляет пользователей вести себя таким образом, что может раскрыть хакерам конфиденциальную информацию.

Идея приложения заключается в том, что оно может добавить слой между пользователем и виртуальным миром, который пользователь обычно видит при использовании своего VR-устройства. Они называют это начальным слоем в честь фильма, в котором персонажу, которого играет Леонардо Ди Каприо, в мозг загружается измененный слой реальности.

В этом случае, как предполагают исследователи, такой уровень может позволить хакерам записывать информацию, например пароль, введенный в виртуальный банкомат. Он также может перехватывать и изменять информацию, например суммы денежных средств, предназначенные для покупки, и направлять разницу на банковский счет хакера.

Он может даже добавить в мир виртуальной реальности изображения, например, персонажей, представляющих друзей или семью, и использовать такую ​​уловку, чтобы завоевать доверие или получить доступ к секретам. Короче говоря, он может отслеживать или изменять жесты, голосовые излучения, активность в Интернете, а также социальные или деловые взаимодействия.

Такое приложение, как отмечает исследовательская группа, можно было бы загрузить на VR-устройство пользователя, если бы ему удалось взломать свою сеть Wi-Fi или получить физический доступ. И после установки он может работать без уведомления пользователя. Исследователи проверили последнюю возможность, заручившись помощью 28 добровольцев, которые играли в игру, используя демонстрационную гарнитуру виртуальной реальности.

Затем исследователи загрузили на устройства приложение, имитируя взлом, а затем спросили добровольцев, заметили ли они что-нибудь — процесс загрузки и активации вызвал небольшое мерцание. Только 10 добровольцев заметили это, и только один из них задался вопросом, не происходит ли что-то гнусное.

Исследовательская группа уведомила создателей системы Quest VR, которая использовалась в эксперименте, о своих выводах, и компания в ответ сообщила, что планирует изучить потенциальную уязвимость и исправить ее, если она подтвердится. Исследователи также отмечают, что такие уязвимости, вероятно, существуют в других системах и других типах приложений, которые также стремятся вставить себя между пользователями и их устройствами виртуальной реальности.