ИБ-исследователь показал атаку и способ доставки любого вредоносного ПО на гарнитуру Quest 3 компании Meta*. В качестве демонстрации и proof-of-concept он заразил свое устройство вымогателем CovidLock.
Независимый исследователь Хариш Сантханалакшми Ганесан (Harish Santhanalakshmi Ganesan) прочитал на Reddit, что установить малварь на Quest 3 практически невозможно, и воспринял это как вызов, решив проделать это, не включая режим разработчика.
Простой поиск в Google показал, что устройство использует ограниченную версию Android Open Source Project (AOSP). «Это значило, что я могу устанавливать любые APK-файлы так же, как приложения на Android-смартфон», — объясняет специалист.
Дальнейший поиск на YouTube позволил обнаружить метод, использующий популярное приложение из App Lab компании Meta (Mobile VR Station) для доступа к нативному файловому менеджеру Android. Именно этим способом и воспользовался исследователь для установки CovidLock на Quest 3.
CovidLock представляет собой вымогательскую малварь, предназначенную для устройств под управлением Android. Как нетрудно понять по названию, она появилась во времена пандемии COVID-19. Получив достаточное количество опасных разрешений, малварь блокирует доступ к устройству и выводит на экран вымогательское сообщение с требованием выкупа.
На видео, которым исследователь поделился с изданием 404 Media, он поворачивает голову влево и вправо, но прямо перед ним парит огромное окно CovidLock. Несколько раз он пытается выйти из вредоносного приложения и удалить его через настройки, но ничего не выходит.
«Я не могу удалить это приложение, поскольку оно имеет права администратора», — объясняет Хариш.
Однако в данном случае не так важно, какого именно вредоноса использовал исследователь. Ведь обнаруженный им метод позволяет доставить на VR-устройство любую малварь с помощью социальной инженерии.
«Это исследование посвящено не уязвимости в Meta Quest 3, а области атак, которая позволяет людям загружать вредоносное ПО не прибегая к опциям для разработчиков», — объясняет Хариш.
Хотя специалист не стал обнародовать технические детали использованного им метода атаки, он полагает, что злоумышленникам не составит труда это повторить.
«Это означает, что любой злоумышленник может использовать социальную инженерию, чтобы обманом вынудить пользователя установить вредоносное приложение в Quest и дать этому приложению полномочия администратора устройства без включения режима разработчика, — рассказывает специалист. — Гипотетически злоумышленники могут создать вымогательское ПО и распространять его через видео на YouTube, посвященные установке стороннего ПО без ПК, и поделиться вредоносным APK в процессе».
* Деятельность компания Meta признана экстремисткой и запрещена на территории РФ.