Meta Quest: Hackangriff wie im Film "Inception" legt alle Daten offen

In Christoper Nolans berühmtem Film "Inception" dringt der Held, gespielt von Leonardo DiCaprio, in die Träume seiner Zielperson ein, um Informationen aus deren Gehirn zu stehlen und falsche Erinnerungen in ihr Unterbewusstsein einzufügen. Ein neuer Angriff auf Virtual-Reality-Headsets von Meta arbeitet auf eine ähnliche Art und Weise. Forscher der University of Chicago haben eine Sicherheitslücke im Quest-VR-System der Firma demonstriert, die es Cyberkriminellen ermöglichen könnte, die Geräte zu kapern, sensible Informationen zu stehlen und – mithilfe von generativer KI – sogar soziale Interaktionen zu manipulieren. Der Angriff wurde bisher zwar noch nicht in freier Wildbahn angewendet und die Hürden für seine Umsetzung sind relativ hoch, da ein Angreifer sich Zugang zum WLAN des Quest-Benutzers verschaffen müsste. Die Methode ist jedoch äußerst raffiniert und zeigt, wie solche futuristischen Verbrechen in Zukunft aussehen könnten.

Bei der "Inception Attack" erstellen die Angreifenden zunächst eine App, die bösartigen Code in das Meta-Quest-Betriebssystem einschleust und dann einen Klon des Startbildschirms und der Apps des VR-Systems startet, die sich nicht von den Originalen unterscheiden. Sobald die Angreifer in das System eingedrungen sind, können sie alles sehen, aufzeichnen und verändern, was die Person mit dem Headset anstellt. Dazu gehören die Spracheingaben, Gesten, Tastenanschlägen, Browsing-Aktivitäten und sogar die sozialen Interaktionen des Benutzers. Der Angreifer kann sogar den Inhalt der Nachrichten eines Benutzers an andere Personen ändern. Die Forschungsergebnisse, die der US-Ausgabe von MIT Technology Review exklusiv zur Verfügung gestellt wurden, müssen sich noch einem Peer Review stellen. Ein Sprecher von Meta gab an, das Unternehmen plane, die Studie "zu überprüfen". Man arbeite regelmäßig mit Sicherheitsforschern im Rahmen seines Bug-Bounty-Programms "und anderer Initiativen" zusammen.

VR-Headsets werden zwar immer beliebter, doch die Sicherheitsforschung auf diesem Gebiet ist offensichtlich hinter der Produktentwicklung zurückgeblieben. Schutzmaßnahmen insbesondere bei den populären Modellen von Meta scheinen noch unzureichend zu sein, die teurere Vision Pro von Apple gibt bestimmte sensible Daten gar nicht erst an Apps. Hinzu kommt, dass es die immersive Natur der virtuellen Realität Menschen erschweren könnte, zu erkennen, dass sie in eine solche Falle getappt sind. "Das Schockierende daran ist, wie fragil die heutigen VR-Systeme sind", sagt Heather Zheng, Professorin für Informatik an der University of Chicago, die die "Inception Attack"-Studie leitete.

Ihr Angriff (auf die Meta Quest 2, 3 und Pro) nutzt eine Art Hintertür im Quest-VR-System: Benutzer müssen den sogenannten Entwicklermodus aktivieren, um Apps von Drittanbietern herunterzuladen, die Auflösung des Headsets anzupassen oder Screenshots von Inhalten zu machen. Der Entwicklermodus erlaubt wiederum einen Fernzugriff zu Debugging-Zwecken. Dieser Zugriff kann jedoch von böswilligen Akteuren missbraucht werden, um zu sehen, wie der Startbildschirm eines Benutzers gestaltet ist und welche Apps installiert sind. Mit diesen Informationen kann der Angreifer den Startbildschirm und die Anwendungen des Opfers replizieren. Alternativ sind Angriffe auch möglich, wenn Kriminelle physischen Zugriff auf das Headset haben oder Benutzer Apps herunterladen, die Malware enthalten.

Heimlicher Zugriff

Nach Injektion der "Inception Attack" aktiviert sich der Angriff, sobald ahnungslose Benutzer eine Anwendung beenden und zum Startbildschirm zurückkehren. Der Angriff erfasst auch den Bildinhalt und die Mikrofonaufzeichnung des Benutzers, die per Livestream an den Angreifer zurückgesendet werden können. Auf diese Weise konnten die Forscher sehen, wann ein Benutzer seine Anmeldedaten für eine Online-Banking-Website eingegeben hat.

Dann konnten sie den Bildschirm des Benutzers sogar so manipulieren, dass ein falscher Kontostand angezeigt wurde. Als der Benutzer versuchte, jemandem über das Headset einen US-Dollar zu überweisen, konnten die Forscher den überwiesenen Betrag auf fünf Dollar hochsetzen, ohne dass der Benutzer dies bemerkte. Das liegt daran, dass der Angreifer sowohl das, was der Benutzer im System sieht, als auch das, was das Gerät ins Internet sendet, kontrollieren kann.

Das Online-Banking-Beispiel ist besonders frappierend, meint Jiasi Chen, außerordentliche Professorin für Informatik an der University of Michigan, die im Bereich VR forscht. Der Angriff könne wahrscheinlich auch mit anderen bösartigen Taktiken kombiniert werden, z. B. indem man Menschen dazu verleitet, auf verdächtige Links zu klicken. Hinzu kommen Manipulationen sozialer Interaktionen: Die Sicherheitsforscher klonten auch die VRChat-App von Meta Quest, die es Nutzern ermöglicht, über ihre Avatare miteinander zu kommunizieren. Sie waren dann in der Lage, die Nachrichten der Nutzer abzufangen und nach Belieben zu verändern oder zu antworten.

Generative KI könnte diese Bedrohung noch verschlimmern. Denn sie ermöglicht mittlerweile jedem, die Stimmen von Menschen zu klonen und visuelle Fakes zu erzeugen, die dann von böswilligen Akteuren genutzt werden könnten, um Menschen bei ihren VR-Interaktionen zu betrügen. Um zu testen, wie leicht Menschen durch die "Inception-Attack" getäuscht werden können, rekrutierte Zhengs Team auch 27 Freiwillige, allesamt VR-Nutzer mit langer Erfahrung.

Wiederherstellung der Werkseinstellungen

Die Teilnehmer wurden gebeten, Anwendungen wie das VR-Spiel "Beat Saber" zu erkunden, bei dem die Spieler Lichtschwerter steuern und versuchen, auf sie zufliegende Musikbeats zu zerstören. Ihnen wurde gesagt, dass die Studie darauf abzielt, ihre Erfahrungen mit VR-Anwendungen zu untersuchen. Ohne ihr Wissen starteten die Forscher den Angriff auf die Headsets der Freiwilligen.

Die überwiegende Mehrheit der Teilnehmer schöpfte keinen Verdacht. Von 27 Personen bemerkten nur 10 eine kleine "Störung", als der Angriff begann, aber die meisten von ihnen taten es als normale Verzögerung im Netz ab. Nur eine einzige Person meldete eine wie auch immer geartete verdächtige Aktivität.

Es zeigt sich ein Grundproblem: Wenn man in die virtuelle Realität eintritt, gibt es keine Möglichkeit, das Gesehene zu authentifizieren. Die Immersivität der Technologie führe dazu, dass die Menschen ihr mehr vertrauen, sagt Zheng. Dadurch könnten solche Angriffe besonders wirkungsvoll sein, meint auch Franzi Roesner, außerordentliche Professorin für Informatik an der University of Washington, die sich mit den Themen Sicherheit und Datenschutz im Netz beschäftigt.

Die beste Verteidigung, so fand Zhengs Team heraus, ist bislang nur die Wiederherstellung der Werkseinstellungen des Headsets, um die Angreifer App zu entfernen. Die "Inception-Attack" biete Angreifern viele verschiedene Möglichkeiten, in Quest-VR-System einzudringen und Menschen zu hintergehen, meint auch Ben Zhao, Professor für Informatik an der University of Chicago, der Teil des Forschungsteams war. Immerhin: Noch ist die Verbreitung der Technik relativ begrenzt. "Entsprechend bleibt noch Zeit, robustere Schutzmaßnahmen zu entwickeln", so Zhao.

(jle)