近日，一项新的研究表明，研究人员发现Meta的虚拟现实头显存在一个潜在的重大安全漏洞。芝加哥大学的一组研究人员表示，他们找到了一种在用户不知情的情况下侵入Meta Quest头显的方法，从而使他们能够控制用户的VR环境、窃取信息，甚至操纵用户之间的互动。

图源：Getty Images

研究表明，为了实施攻击，黑客必须与Quest用户连接到同一WiFi网络。头显还必须处于开发者模式，研究人员表示，许多Meta Quest用户都保持启用状态，以便获取第三方应用程序、调整分辨率和截取屏幕截图。从那里，研究人员能够将恶意软件植入到头显上，从而允许他们安装一个看起来与用户原始屏幕相同的虚假主屏幕，但可以由研究人员控制。

在实验中，研究人员创建了Meta Quest浏览器和VRChat应用程序的克隆版本。一旦浏览器应用程序副本运行，研究人员就能够在用户登录敏感帐户（例如银行或电子邮件）时监视他们。他们不仅能够看到用户在做什么，还能够操纵用户所看到的内容。例如，研究人员描述了用户转账的情况。当用户尝试将1美元转账给某人时，攻击者可以在后端将金额更改为5美元。同时，它对用户来说仍然显示为1美元，包括在确认屏幕上，因此用户不知道实际上发生了什么。

为了与真人一起测试初始攻击过程，研究人员让27名研究参与者他们对Quest头显的攻击实验。该研究称，只有三分之一的用户注意到会话被劫持时出现的故障，除了一名用户外，所有用户都将其归因于正常的性能问题。

Meta并没有对此项研究做出具体回应，但一位发言人声称，他们将审查这项研究，并补充说：“作为我们的错误赏金计划和其他举措的一部分，我们将不断与学术研究人员合作。”