Forschende demonstrieren Cyberangriff auf Metas VR-Brille
Forschende aus Chicago haben untersucht, wie sich Metas Quest-VR-Headsets angreifen lassen. Sie konnten Daten von Kameras und Mikrofonen abgreifen, angezeigte VR-Umgebungen fälschen und ganze Gespräche manipulieren.
Warnungen vor Cyberangriffen auf VR-Brillen sind nicht neu. Noch geht es dabei jedoch mehrheitlich um theoretische Szenarien. Allerdings machte eine Gruppe von Forschenden der University of Chicago unlängst vor, dass solche Angriffe tatsächlich möglich sind. Es funktioniere bei allen aktuell erhältlichen Modellen von Quest, dem VR-Headset des Unternehmens Meta, schreibt "Heise", erfordere jedoch einigen Aufwand. Konkret benötige der Angreifer einen Zugang zum selben WLAN-Netz, in dem auch das VR-Headset eingeloggt sei. Auch müsste wohl ein spezieller Entwicklermodus aktiviert oder eine entsprechende Malware installiert werden.
Die Forschenden bezeichnen ihren Angriff als "Inception Attack". Der Name ist inspiriert vom Film "Inception", in dem es um die Manipulation von Träumen und Erinnerungen geht. Bei ihrer Attacke manipulierte das Forscherteam zwar keine Erinnerungen, sehr wohl aber die VR-Umgebung, die der User zu sehen bekommt. Sie konnten ausserdem Mikrofon, Kamera und weitere Sensoren des Headsets anzapfen sowie ganze Konversationen manipulieren, sodass "zwei User, die miteinander interagierten, zwei höchst unterschiedliche Konversationen erlebten", wie sie in der Zusammenfassung ihrer Untersuchung (PDF) schreiben. Nur 37 Prozent ihrer Probanden seien die kurzen Aussetzer zu Beginn des Angriffs aufgefallen.
Die Studie hat aktuell noch kein Peer Review durchlaufen, wie "Heise" anmerkt. Seitens Meta heisst es, man werde die Untersuchung überprüfen und arbeite regelmässig mit Sicherheitsforschenden zusammen.
Cyberangriffe auf VR-Headsets waren Thema an der Sicherheitskonferenz Swiss Cyber Storm 2021. Kavya Pearlman von der Organisation X Reality Safety Intelligence (XRSI) beklagte in ihrem Vortrag, Sicherheit und Datenschutz seien bei der Entwicklung von VR-Anwendungen erst ein nachträglicher Gedanke. Wen sie in der Pflicht sieht und auf wen sie ihre Hoffnungen setzt, lesen und hören Sie hier.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.