Forschende demonstrieren Cyberangriff auf Metas VR-Brille
Forschende aus Chicago haben untersucht, wie sich Metas Quest-VR-Headsets angreifen lassen. Sie konnten Daten von Kameras und Mikrofonen abgreifen, angezeigte VR-Umgebungen fälschen und ganze Gespräche manipulieren.
Warnungen vor Cyberangriffen auf VR-Brillen sind nicht neu. Noch geht es dabei jedoch mehrheitlich um theoretische Szenarien. Allerdings machte eine Gruppe von Forschenden der University of Chicago unlängst vor, dass solche Angriffe tatsächlich möglich sind. Es funktioniere bei allen aktuell erhältlichen Modellen von Quest, dem VR-Headset des Unternehmens Meta, schreibt "Heise", erfordere jedoch einigen Aufwand. Konkret benötige der Angreifer einen Zugang zum selben WLAN-Netz, in dem auch das VR-Headset eingeloggt sei. Auch müsste wohl ein spezieller Entwicklermodus aktiviert oder eine entsprechende Malware installiert werden.
Die Forschenden bezeichnen ihren Angriff als "Inception Attack". Der Name ist inspiriert vom Film "Inception", in dem es um die Manipulation von Träumen und Erinnerungen geht. Bei ihrer Attacke manipulierte das Forscherteam zwar keine Erinnerungen, sehr wohl aber die VR-Umgebung, die der User zu sehen bekommt. Sie konnten ausserdem Mikrofon, Kamera und weitere Sensoren des Headsets anzapfen sowie ganze Konversationen manipulieren, sodass "zwei User, die miteinander interagierten, zwei höchst unterschiedliche Konversationen erlebten", wie sie in der Zusammenfassung ihrer Untersuchung (PDF) schreiben. Nur 37 Prozent ihrer Probanden seien die kurzen Aussetzer zu Beginn des Angriffs aufgefallen.
Die Studie hat aktuell noch kein Peer Review durchlaufen, wie "Heise" anmerkt. Seitens Meta heisst es, man werde die Untersuchung überprüfen und arbeite regelmässig mit Sicherheitsforschenden zusammen.
Cyberangriffe auf VR-Headsets waren Thema an der Sicherheitskonferenz Swiss Cyber Storm 2021. Kavya Pearlman von der Organisation X Reality Safety Intelligence (XRSI) beklagte in ihrem Vortrag, Sicherheit und Datenschutz seien bei der Entwicklung von VR-Anwendungen erst ein nachträglicher Gedanke. Wen sie in der Pflicht sieht und auf wen sie ihre Hoffnungen setzt, lesen und hören Sie hier.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Update: Oracle bestreitet einen mutmasslichen Datendiebstahl – und warnt vor einem anderen
Wie das BACS die Cybersicherheit in der Schweiz weiter ausbauen will
Update: Jetzt müssen kritische Infrastrukturen Cyberangriffe melden
Check Point bestätigt und relativiert Datendiebstahl
Update: Polizei warnt vor neuer Vishing-Welle mit fingiertem Paypal-Support
Kann man einen USB-Pfeil abschiessen und genau ins Ziel einstecken?
Arctic Wolf tourt mit neuen Features durch die Schweiz
Microsoft führt Quick Machine Recovery für Windows 11 ein
Wie man Upselling am POS nicht machen sollte
