توصل باحثون من جامعة شيكاغو الأمريكية، إلى ثغرة أمنية في نظام تشغيل نظارات “ميتا كويست” الذكية تمكن من اختراق النظارة والسيطرة عليها عن بعد.
والتقنية التي طورها الباحثون عبارة عن برمجية خبيثة تسمح للمخترق بتسجيل كل ما يراه أو يسمعه المستخدم داخل النظارة، فضلاً عن سرقة بيانات حساسة.
وبحسب الدراسة البحثية، يوجد في نظام تشغيل نظارات “ميتا كويست” الذكية ثغرة تمكن المخترق من السيطرة على تلك النظارات عبر الوصول إلى شبكة الإنترنت اللاسلكي (واي فاي) المتصلة بها النظارة.
وأوضح الباحثون أن عدم اتصال المخترق بشبكة الواي فاي المتصلة بها نظارة المستخدم تعيق إمكانية تطبيق أسلوب الإختراق بشكل موسع، لكنهم صمموا على أن الأسلوب رغم ذلك يشكل خطراً كبيراً لما يسمح به من إجراء عمليات التحايل والتصيد الإلكتروني داخل الواقع الافتراضي.
وعادة يلجأ مستخدمو نظارات “ميتا كويست” إلى تفعيل “وضع المطور Developer Mode”، للوصول إلى العديد من المزايا، مثل إمكانية التقاط صورة لما يرونه داخل النظارة ScreenShot، والتحكم في مستوى دقة عرض شاشة النظارة، وتسهيل تثبيت تطبيقات الطرف الثالث من الإنترنت.
ولكن تفعيل تلك الميزة للحصول على العديد من الأدوات المفيدة، قد يتسبب بنفس الوقت في التعرض لاختراق وانتهاك خصوصية المستخدم.
ويتطلب الهجوم الجديد من المخترق تثبيت تطبيق خبيث على النظارة، ويمكن تحقيق ذلك بعدة طرق، إما من خلال إقناع المستخدم بالضغط على رابط إلكتروني يقوم بتحميل التطبيق على نظارته، أو الإيقاع بالمستخدم من خلال عملية احتيال تقنعه بتحميل التطبيق بنفسه.
وبعد تثبيت التطبيق الخبيث داخل النظارة، ينتقل الهجوم إلى مرحلته الثانية، والتي تتمثل في جمع معلومات حول نظارة المستخدم وبياناتها، مثل التطبيقات المثبتة عليها، تصميم واجهة المستخدم بداخلها، ليتمكن المخترق من إنشاء نسخة رقمية تطابق الطبيعة الرقمية أمام عينيّ الضحية داخل النظارة.
وبعد ذلك، سيتمكن المخترق من جعل الضحية يتنقل ويستخدم البيئة الرقمية المزيفة، مع تتبع كافة ما يقوم به المستخدم، من تصفح الويب وجميع أنشطته داخل النظارة، مثل التنصت على المكالمات والتجسس على المحادثات النصية والمصورة، بجانب سرقة المعلومات الحساسة مثل كلمات تسجيل الدخول للحسابات على تطبيقات مهمة، مثل التطبيقات البنكية وتطبيقات الشبكات الاجتماعية.
وضرب الباحثون مثالاً يبين خطورة الهجوم، بأن الضحية بعد اختراق نظارته “ميتا كويست”، عندما يكون داخل البيئة الرقمية المزيفة، وقام بتحويل 10 دولارات مثلاً، يمكن للمخترق التلاعب بما يظهر أمام الضحية لتأكيد أن التحويل بالفعل تم بقيمة 10 دولارات، لكن في الخلفية، يقوم المخترق بتحويل 100 دولار، لأنه يتحكم في نظام تشغيل نظارة ميتا بشكل كامل.
كما أشارت الدراسة إلى أن استخدام الذكاء الاصطناعي التوليدي لتزييف صوت الضحية وبناء نسخة رقمية تتطابق مع ملامحه الحقيقية، سيرفع من مستوى خطورة استخدام الهجوم الجديد.
وعلقت ميتا على الدراسة، فقال المتحدث باسم الشركة في تصريحات لموقع Technology Review، إن الشركة ستراجع ما توصلت إليه الدراسة البحثية.
وأكد متحدث ميتا، أن الشركة حريصة على العمل المستمر مع الباحثين الأكاديميين، كجزء من برنامجها لمكافآت اكتشاف الثغرات وغيرها من مبادرات تهدف لحماية خصوصية المستخدمين.