القاهرة-الشرق
طور فريق من الباحثين أسلوباً جديداً لاختراق نظارات الواقع الافتراضي، من خلال السيطرة عليها عن بعد عبر برمجية خبيثة تسمح للمخترق بتسجيل كل ما يراه أو يسمعه المستخدم داخل النظارة، فضلاً عن سرقة بيانات حساسة.
وبحسب الدراسة البحثية، اكتشف باحثون من جامعة شيكاغو الأمريكية ثغرة أمنية في نظام تشغيل نظارات "ميتا كويست" الذكية تمكن المخترق من السيطرة على تلك النظارات عبر الوصول إلى شبكة الإنترنت اللاسلكي (واي فاي) المتصلة بها النظارة.
وأوضح الباحثون أن عدم اتصال المخترق بشبكة الواي فاي المتصلة بها نظارة المستخدم تعيق إمكانية تطبيق أسلوب الإختراق بشكل موسع، لكنهم صمموا على أن الأسلوب رغم ذلك يشكل خطراً كبيراً لما يسمح به من إجراء عمليات التحايل والتصيد الإلكتروني داخل الواقع الافتراضي.
هجوم معقد
ويلجأ مستخدمو نظارات "ميتا كويست" للواقع الافتراضي إلى تفعيل "وضع المطور Developer Mode"، للوصول إلى العديد من المزايا، مثل إمكانية التقاط صورة لما يرونه داخل النظارة ScreenShot، وكذلك التحكم في مستوى دقة عرض شاشة النظارة، وتسهيل تثبيت تطبيقات الطرف الثالث من الإنترنت.
ولكن تفعيل تلك الميزة للحصول على العديد من الأدوات المفيدة، قد يتسبب بنفس الوقت في التعرض لاختراق وانتهاك خصوصية المستخدم.
ويتطلب الهجوم الجديد من المخترق تثبيت تطبيق خبيث على نظارة الضحية، ويمكن تحقيق ذلك بعدة طرق، إما من خلال إقناع المستخدم بالضغط على رابط إلكتروني يقوم بتحميل التطبيق على نظارته، أو الإيقاع بالمستخدم من خلال عملية احتيال تقنعه بتحميل التطبيق بنفسه.
وكل ذلك لن يتحقق إلا بتفعيل المستخدم لميزة "وضع المطور"، والتي تسمح بتثبيت تطبيق من الإنترنت على النظارة.
أسلوب "إنسيبشن"
بعد أن يتمكن المخترق من زرع التطبيق الخبيث داخل نظارة الضحية، ينتقل الهجوم إلى مرحلته الثانية، والتي تتمثل في جمع معلومات حول نظارة المستخدم وبياناتها، مثل التطبيقات المثبتة عليها، تصميم واجهة المستخدم بداخلها، ليتمكن المخترق من إنشاء نسخة رقمية تطابق الطبيعة الرقمية أمام عينيّ الضحية داخل النظارة.
وبعد إنجاز تلك الخطوة، سيتمكن المخترق من جعل الضحية يتنقل ويستخدم البيئة الرقمية المزيفة، مع تتبع كافة ما يقوم به المستخدم، من تصفح الويب وجميع أنشطته داخل النظارة، مثل التنصت على المكالمات والتجسس على المحادثات النصية والمصورة، بجانب سرقة المعلومات الحساسة مثل كلمات تسجيل الدخول للحسابات على تطبيقات مهمة، مثل التطبيقات البنكية وتطبيقات الشبكات الاجتماعية.
وضرب الباحثون مثالاً يبين خطورة الهجوم، بأن الضحية بعد اختراق نظارته "ميتا كويست"، عندما يكون داخل البيئة الرقمية المزيفة، ويقوم بتشغيل تطبيق بنكي، سيكون بإمكان المخترق التحكم في طبيعة المعلومات المعروضة داخل التطبيق، مثل تزييف أرصدة الحسابات، والتلاعب بعمليات التحويل المالية، فإذا كان المستخدم يحاول تحويل، مثلا، 10 دولارات، يمكن للمخترق التلاعب بما يظهر أمام الضحية لتأكيد أن التحويل بالفعل تم بقيمة 10 دولارات، لكن في الخلفية، دون علم المستخدم، يقوم المخترق بتحويل 100 دولار، لأنه يتحكم في نظام تشغيل نظارة ميتا بشكل كامل.
تزييف مقنع
وحاول الباحثون أيضاً إثبات إمكانية استخدام أسلوب الاختراق الجديد في تزييف التفاعلات الاجتماعية داخل نظارات ميتا، عبر إنشاء إصدار مزيف من تطبيق VRChat، والذي يسمح لمستخدمي نظارات ميتا التفاعل معاً داخل عالم رقمي بالكامل في صورة شخصيات افتراضية "أفاتار"، وعندها يتمكن المخترق من التجسس على المحادثات بين الضحية وبقية المستخدمين.
كذلك أكدت الدراسة أن استخدام الذكاء الاصطناعي التوليدي لتزييف صوت الضحية وبناء نسخة رقمية تتطابق مع ملامحه الحقيقية، سيرفع من مستوى خطورة استخدام الهجوم الجديد، لأن بوسع المخترق الاعتماد على تقنيات الذكاء الاصطناعي للتواصل مع عائلة وأصدقاء المستخدم داخل الواقع الافتراضي منتحلاً صفته بشكل كامل، وهنا لن تكون هناك حدود لعمليات الاحتيال التي يمكن تنفيذها.
وركز الباحثون في دراستهم على أن التجربة الغامرة التي يحظى بها مرتدو نظارات الواقع الافتراضي تجعل من السهل الإيقاع بهم في الاحتيال الإلكتروني، لأن المستخدم داخل العالم الرقمي الغامر أمام عينيه يصعب عليه أن يشك في حقيقة ما يراه، ومتعة التجربة تجعله يثق فيها وبالتالي يسهل التلاعب به من جانب المخترقين.
يُذكر أن المتحدث باسم ميتا أكد، في تصريحات لموقع Technology Review، أن الشركة ستراجع ما توصلت إليه الدراسة البحثية، مشيرة إلى حرصها على العمل المستمر مع الباحثين الأكاديميين، كجزء من برنامجها لمكافآت اكتشاف الثغرات وغيرها من مبادرات تهدف لحماية خصوصية المستخدمين.
تصنيفات
