في فيلم "الاستهلال" (Inception) الذي أخرجه كريستوفر نولان، تستخدم الشخصية التي يمثل دورها ليوناردو ديكابريو التكنولوجيا للدخول إلى أحلام الضحايا من أجل سرقة المعلومات وزرع تفاصيل مزيفة في العقل الباطن لديهم.
ويعمل "هجوم الاستهلال" الجديد في الواقع الافتراضي بطريقة مماثلة. فقد استغل باحثون في جامعة شيكاغو ثغرة أمنية في نظام كويست للواقع الافتراضي من شركة ميتا (Meta)، حيث تتيح هذه الثغرة لقراصنة المعلومات السيطرة على النظارة، وسرقة المعلومات المهمة، والتلاعب بالتفاعلات الاجتماعية بمساعدة الذكاء الاصطناعي التوليدي.
اقرأ أيضاً: ما الفرق بين نظارات الواقع الافتراضي من آبل وميتا؟
هجوم الاستهلال
لم يُستخدم هذا الهجوم خارج نطاق العمل البحثي بعد، كما أن تنفيذه ليس سهلاً على الإطلاق، حيث يتطلب من قرصان المعلومات الدخول إلى شبكة الواي فاي التي يستخدمها مرتدي النظارة، غير أنه هجوم معقد، ويجعل الضحايا معرضين لعمليات التصيد الاحتيالي والنصب والاستدراج، إضافة إلى مخاطر أخرى.
في هذا الهجوم، يبني قرصان المعلومات تطبيقاً يدس رموزاً برمجية خبيثة ضمن نظام ميتا كويست للواقع الافتراضي، ويشغل بعد ذلك نسخة من شاشة نظام الواقع الافتراضي الرئيسية وتطبيقاته، بحيث تبدو مطابقة للشاشة الأصلية التي كانت تظهر أمام المستخدم. بعد الدخول إلى النظام، يستطيع القراصنة رؤية كل ما يفعله المستخدم بالنظارة، وتسجيله وتعديله أيضاً. يتضمن هذا تتبع الصوت، والإيماءات، ونقرات المفاتيح، وسجل التصفح، وحتى التفاعلات الاجتماعية للمستخدم. ويستطيع القرصان حتى تغيير محتوى الرسائل التي يوجهها المستخدم إلى الآخرين. هذا البحث، الذي أتيح لمجلة إم آي تي تكنولوجي ريفيو الاطلاع عليه بصورة حصرية، لم يخضع حتى الآن إلى مراجعة الأقران.
قال ناطق باسم ميتا إن الشركة تخطط لمراجعة النتائج: "نعمل باستمرار مع الباحثين الأكاديميين في إطار برنامجنا لالتقاط الأخطاء البرمجية، وغير ذلك من المبادرات".
الأبحاث المتعلقة بالجوانب الأمنية لنظارات الواقع الافتراضي لا تضاهي تطورها
أصبحت نظارات الواقع الافتراضي بالتدريج أكثر شيوعاً في السنوات الأخيرة، لكن الأبحاث المتعلقة بالجوانب الأمنية لم تجارِ عمليات تطوير المنتجات في هذا المجال، وتفتقر نظارات الواقع الافتراضي حالياً إلى الوسائل الدفاعية المطلوبة للتصدي لهجمات القرصنة. إضافة إلى ذلك، فإن الطبيعة الاندماجية للواقع الافتراضي تجعل من الصعب على المستخدمين أن يدركوا أنهم وقعوا في الفخ.
تقول أستاذة علم الحاسوب في جامعة شيكاغو، ورئيسة الفريق الذي أجرى البحث، هيذر زينغ: "تكمن الصدمة في مدى هشاشة أنظمة الواقع الافتراضي الحالية".
اقرأ أيضاً: كل ما تحتاج إلى معرفته عن نظارة آبل فيجن برو واستخداماتها
هجوم خفي
يعتمد هجوم الاستهلال على ثغرة في نظارات ميتا كويست: حيث يجب على المستخدم تفعيل خيار "وضع المطوِّر" من أجل تنزيل التطبيقات الخارجية، وضبط دقة النظارة، أو أخذ لقطة شاشة للمحتوى، لكن هذا الوضع يسمح للقراصنة بالدخول إلى نظارة الواقع الافتراضي إذا كانوا يستخدمون شبكة الواي فاي نفسها.
يُفترض بوضع المطور أن يمنح المستخدمين إمكانية الوصول عن بعد لأغراض استكشاف الأخطاء البرمجية وتصحيحها. لكن يمكن لطرف خبيث أن يستغل إمكانية الوصول هذه لرؤية شكل الشاشة الرئيسية للمستخدم واكتشاف التطبيقات المثبتة (من الجدير بالذكر أنه يمكن للمهاجمين أن يخترقوا النظارة أيضاً إذا تمكنوا من الوصول إليها فيزيائياً أو إذا تمكن المستخدم من تنزيل تطبيقات تتضمن برمجيات خبيثة). من خلال هذه المعلومات، يستطيع المهاجم بناء نسخة مطابقة من الشاشة الرئيسية والتطبيقات للضحية.
بعد ذلك، يدس المهاجم خفية تطبيقاً يتضمن هجوم الاستهلال. وعندما يخرج المستخدم الذي لا يدرك ما يحدث من أحد التطبيقات ويعود إلى الشاشة الرئيسية، يجري تفعيل الهجوم، وتبدأ عملية السيطرة على نظارة الواقع الافتراضي. يستطيع الهجوم أيضاً التقاط مسارات تدفق بيانات العرض والصوت الخاصة بالمستخدم، التي يمكن بثها مباشرة إلى المهاجم.
تمكن الباحثون من خلال هذه الطريقة من رؤية أحد المستخدمين وهو يدخل بيانات إثبات الشخصية الخاصة بعملية تسجيل الدخول إلى موقع أحد المصارف على الإنترنت، وتمكنوا بعد ذلك من التلاعب بشاشة المستخدم لعرض قيمة خاطئة للرصيد المصرفي. وعندما حاول المستخدم دفع مبلغ دولار واحد إلى شخص آخر عبر النظارة، تمكن الباحثون من تغيير المبلغ المُحَوَّل إلى 5 دولارات دون أن يدرك المستخدم ما يحدث، ويُعزى هذا إلى قدرة القرصان على التحكم فيما يراه المستخدم في النظام وما يرسله الجهاز فعلياً.
يُعد المثال السابق المتعلق باختراق العملية المصرفية مثيراً للاهتمام على نحو خاص، كما تقول الأستاذة المساعدة المتخصصة بعلم الحاسوب في جامعة ميشيغان، جيسان تشين، التي تجري أبحاثاً في مجال الواقع الافتراضي، لكنها لم تشارك في هذا البحث. وتضيف قائلة إنه من الممكن دمج هذا الهجوم مع أساليب خبيثة أخرى، مثل خداع المستخدمين لدفعهم إلى النقر على روابط تشعبية مشبوهة.
يمكن استخدام هجوم الاستهلال أيضاً في التلاعب بالتفاعلات الاجتماعية في الواقع الافتراضي، فقد استنسخ الباحثون تطبيق في آر تشات (VRChat) في ميتا كويست، وهو تطبيق يتيح للمستخدمين التحدث إلى بعضهم بعضاً عبر شخصياتهم الرقمية، وتمكن الباحثون من اعتراض رسائل الأشخاص، والرد عليها كما يحلو لهم.
يمكن للذكاء الاصطناعي التوليدي أن يزيد هذا التهديد سوءاً، لأنه يسمح لأي شخص بأن يستنسخ أصوات الآخرين ويولد مزيفات عميقة مرئية على الفور، بحيث يمكن للأطراف الخبيثة استغلالها للتلاعب بالآخرين في تفاعلاتهم في الواقع الافتراضي، كما تقول زينغ.
اقرأ أيضاً: تعرّف إلى البيكسلات الصغيرة التي تستعد لغزو عالم الواقع المعزز
تحريف الواقع
اعتمد فريق زينغ على 27 خبيراً متطوعاً في مجال الواقع الافتراضي لاختبار مدى سهولة خداع المستخدمين من خلال هجوم الاستهلال. طُلِب من المشاركين أن يستكشفوا تطبيقات مثل لعبة تسمى "بيت سيبر" (Beat Saber)، التي يمسك اللاعبون فيها بسيوف ضوئية ويحاولون استخدامها لضرب علامات النغمات الموسيقية التي تطير نحوهم. وقيل للمشاركين إن المشروع يهدف إلى دراسة تجربتهم مع تطبيقات الواقع الافتراضي. شغل الباحثون هجوم الاستهلال على نظارات المتطوعين دون إخبارهم بهذا،
ولم تشك الأغلبية العظمى من المشاركين بأي شيء. من بين 27 مشاركاً، لاحظ عشرة منهم فقط وجود "خطأ برمجي صغير" عندما بدأ الهجوم، لكن معظمهم صرف النظر عنه معتقدين أنه مجرد تأخير طبيعي. ولم يبلغ عن وجود نشاط مشبوه سوى شخص واحد.
لا توجد طريقة لتأكيد صحة ما تراه ما إن تدخل في الواقع الافتراضي، كما أن الطبيعة الاندماجية للتكنولوجيا تجعل الناس يثقون بها بدرجة أكبر، كما تقول زينغ. تقول الأستاذة المساعدة المتخصصة بعلم الحاسوب في جامعة واشنطن، فرانزي روسنر، التي تدرس الأمن والخصوصية، لكنها لم تشارك في هذه الدراسة، إن هذه المسألة يمكن أن تجعل من هذه الهجمات مؤثرة للغاية.
وجد الفريق أن أفضل دفاع ضد هذا الهجوم هو استعادة إعدادات المصنع للنظارة من أجل إزالة التطبيق.
يقول أستاذ علم الحاسوب في جامعة شيكاغو وأحد أعضاء فريق البحث، بن زاو، إن هجوم الاستهلال يتيح للقراصنة عدة طرائق مختلفة للدخول إلى نظام الواقع الافتراضي واستغلال المستخدمين. ويضيف قائلاً إن تبنّي الواقع الافتراضي ما زال محدوداً، ما يتيح بعض الوقت لتطوير أنظمة دفاعية أفضل قبل أن تصبح هذه النظارات أوسع انتشاراً.