Die VR-Headsets werden immer populärer doch die Forschung bezüglich der Sicherheit lässt noch zu wünschen übrig. Denn Sicherheitsforschern ist es gelungen das Metas Quest-VR-System zu knacken. Dabei haben sie es geschafft, sensible Informationen wie das Kamerabild abzugreifen. Doch auch weitere Informationen könnten dabei übertragbar werden.
Forscher der University of Chicago haben eine Sicherheitslücke gefunden, die es ermöglichen könnte, sensible Informationen zu stehlen oder sogar soziale Interaktionen des zu manipulieren. Bislang ist die Ausnutzung der gefundenen Lücke noch komplex. Trotzdem ist die Vorgehensweise sehr raffiniert und zeigt, wie solch ein Angriff in Zukunft aussehen könnte.
Um die Auflösung des Headsets anzupassen, Screenshots zu machen oder Apps von Drittanbietern herunterzuladen muss der Entwicklermodus in den Einstellungen aktiviert werden. Bei der Methode erstellen die Angreifer dann eine App (Drittanbieter-App), die einen bösartigen Code in das Meta-Betriebssystem einschleust. Dieser Zugriff wird missbraucht, um zu sehen, wie der Startbildschirm der Benutzer:innen gestaltet ist. Daraufhin wird ein Klon des Startbildschirms und der Apps des VR-Systems abgebildet, sodass es sich nicht vom Original unterscheiden lässt und die Benutzer:innen keinen Unterschied bemerken. Sobald die Angreifer in das System eingehackt sind, können sie alles sehen, aufzeichnen oder verändern, was die Person mit dem Headset normalerweise machen kann. Dazu gehören Spracheingaben, Browsing-Aktivitäten oder soziale Interaktionen der Benutzer:innen. Somit können die Angreifer beispielweise sehen wie ein Benutzer seine Anmeldedaten für ein Online-Shopping eingibt. Auch wenn Benutzer:innen über das Headset einen Geldbetrag überweisen wollen, können die Cyberkriminellen den Betrag beliebig manipulieren. Forscher gehen nun auch von weiteren Möglichkeiten wie bösartigen Links aus, die solche Angriffe in Zukunft ermöglichen sollen.
Nun hat ein Sprecher von Meta angegeben, das Unternehmen plane bereits, die Studie zu überprüfen und wirbt mit der Angabe, das Unternehmen arbeite regelmäßig mit Sicherheitsforschern zusammen.
Doch trotzdem zeigt das beschriebene Beispiel, das die Sicherheitsforschung bei dem Meta Quest-VR-System deutlich zurückgeblieben ist. Schutzmaßnahmen für die Benutzer:innen und ihre sensiblen Informationen scheint es noch nicht ausreichend zu geben und es bleibt spannend ob die Daten in Zukunft sicher sein werden oder ob neue Möglichkeiten auftauchen, die Benutzer:innen unbemerkt hinters Licht führen.
Mehr: