Gürkan Özsoy Blog

Sanal gerçeklik sistemlerinde güvenlik açığı tespit edildi

Chicago Üniversitesi’ndeki bilgisayar bilimcilerinden oluşan bir ekip, sanal gerçeklik sistemlerinde, bir bilgisayar korsanının kullanıcının VR Ana Ekranı ile VR Kullanıcısı/Sunucusu arasına “başlangıç katmanı” olarak tanımlanan bir katman yerleştirmesine izin verebilecek potansiyel bir güvenlik açığını ortaya çıkardı. Ekip, çalışmalarını ve bulgularını açıklayan bir makaleyi arXiv ön baskı sunucusunda yayınladı.

Sanal gerçeklik sistemleri, kullanıcıların akla gelebilecek her şeyin mümkün olduğu sanal bir dünyada etkileşime girmelerine olanak tanır. Bu yeni çalışmada araştırma ekibi, bilgisayar korsanlarının bir kullanıcının sanal gerçeklik gözlüğüne bir uygulama ekleyebileceği ve bu uygulamanın kullanıcıları kandırarak hassas bilgileri bilgisayar korsanlarına ifşa edebilecek şekilde davranmalarını sağlayabileceği bir senaryo hayal etti. Uygulamanın arkasındaki fikir, kullanıcı ile kullanıcının VR cihazını kullanırken normalde gördüğü sanal dünya arasına bir katman ekleyebilmesidir. Leonardo DiCaprio tarafından canlandırılan bir karakterin beynine değiştirilmiş bir gerçeklik katmanı yüklenen filmden sonra buna başlangıç katmanı diyorlar.

Araştırmacılar bu durumda, böyle bir katmanın bilgisayar korsanlarının sanal bir ATM’ye girilen bir şifre gibi bilgileri kaydetmesine izin verebileceğini öne sürüyor. Ayrıca bir satın alma işlemi için belirlenen nakit tutarları gibi bilgileri yakalayıp değiştirebilir ve aradaki farkı hacker’ın banka hesabına yönlendirebilir. Hatta sanal gerçeklik dünyasına arkadaşları ya da aileyi temsil eden karakterler gibi imgeler ekleyebilir ve güven kazanmak ya da sırlara erişmek için böyle bir hileye başvurabilir. Kısacası, jestleri, ses yayılımlarını, tarama faaliyetlerini ve sosyal ya da iş etkileşimlerini izleyebilir ya da değiştirebilir.

Araştırma ekibi böyle bir uygulamanın, WiFi ağını hacklemeyi ya da fiziksel erişim sağlamayı başaran bir kullanıcının VR cihazına indirilebileceğini belirtiyor. Ve bir kez yüklendiğinde, kullanıcının haberi olmadan çalışabilir. Araştırmacılar bu son olasılığı, bir gösteri VR başlığı kullanarak bir oyun oynayan 28 gönüllünün yardımını alarak test ettiler. Daha sonra cihazlara bir uygulama indirerek bir bilgisayar korsanlığını simüle ettiler ve ardından gönüllülere herhangi bir şey fark edip etmediklerini sordular – indirme ve etkinleştirme işlemi küçük bir titremeye neden oldu. Gönüllülerden sadece 10’u bir şey fark etti ve bunlardan sadece biri kötü bir şey olup olmadığını sorguladılar.

Araştırma ekibi, deneyde kullanılan Meta Quest VR sisteminin üreticisi Meta’yı bulgularından haberdar etti ve şirket, potansiyel güvenlik açığını incelemeyi ve doğrulanması halinde düzeltmeyi planladıklarını bildirerek yanıt verdi. Araştırmacılar ayrıca, bu tür güvenlik açıklarının diğer sistemlerde ve kullanıcılar ile VR cihazları arasına girmeye çalışan diğer uygulama türlerinde de bulunabileceğini belirtiyor.

Daha fazla bilgi: Zhuolin Yang ve diğerleri, Başlangıç Saldırıları: Immersive Hijacking in Virtual Reality Systems, arXiv (2024). DOI: 10.48550/arxiv.2403.05721