NEW YORK - Esiste una nuova frontiera della pirateria informatica e della disinformazione. Una frontiera che passa attraverso i visori per la realtà virtuale e racconta una storia che sembra uscita da un film di fantascienza. E infatti, i ricercatori della University of Chicago hanno sfruttato una vulnerabilità della sicurezza nel sistema VR Quest di Meta per “entrare” nei visori degli utenti, rubare informazioni sensibili e, con l'aiuto dell'IA generativa, manipolare le interazioni sociali.
Visori come nel film Inception, ma ci sono rischi per la privacy
I ricercatori hanno paragonato il loro studio - che è stato pubblicato ad Aprile - al film di Christopher Nolan Inception, nel quale Leonardo DiCaprio è Dom Cobb, un ladro capace di entrare nei sogni delle persone per rubare informazioni e inserire falsi dettagli nel loro subconscio.
Le critiche di Zuckerberg
Di recente l’amministratore delegato di Meta Mark Zuckerberg ha criticato Vision Pro, i nuovi visori per la realtà virtuale di Apple, sostenendo che sono «sbagliati in molti aspetti» e che tra cinque anni saranno quello che sono i Meta Quest oggi. I due visori hanno un prezzo molto diverso: i Vision Pro costano 3.500 dollari e in pochi mesi sul mercato hanno venduto 200.000 pezzi. I Quest invece costano 500 dollari e dal 2019 ne sono stati venduti 20 milioni di pezzi con ricavi per 1 miliardo di dollari solo nell’ultimo trimestre del 2023. Proprio l’arrivo di Apple potrebbe cambiare il corso di un mercato che da anni non riesce a crescere abbastanza, creando un effetto iPhone capace di portare i visori dalla nicchia in cui galleggiano da quasi un decennio al mercato di massa. Ma in che modo i ricercatori sono riusciti ad hackerare Quest? Hanno sfruttato una possibilità data da Meta agli sviluppatori che per migliorare una app o eliminare degli errori possono avere accesso in remoto a un sistema VR usando lo stesso WiFi. Durante l'attacco, gli hacker hanno sviluppato un'applicazione che inserisce un malware, un codice malevolo, e in questo modo riesce a creare una schermata identica del sistema VR: possono così osservare, registrare e modificare tutte le attività svolte dell’utente, e soprattutto tracciare i comandi vocali, i gesti, i tasti premuti, manipolando il contenuto dei messaggi inviati dall'utente ad altre persone.
Dodici start up italiane in Texas tra arte e tecnologia
In tutto questo i ricercatori possono vedere per esempio le credenziali inserite dall’utente per accedere alla sua banca o alla sua email. A questo punto sono riusciti a modificare i pagamenti fatti dall’utente: se per esempio pagava 1 dollaro attraverso il suo visore, i ricercatori cambiavano la somma in 5 dollari senza che se ne accorgesse. Ci sono due elementi importanti da valutare in questa ricerca: da una parte il fatto che lo sviluppo dei sistemi VR non stia andando di pari passo con la sicurezza, dall’altra l’estrema pericolosità di questi attacchi visto che essendo immerso in un mondo virtuale l’utente fatica a capire se sta subendo un attacco. Su 27 utenti che hanno partecipato alla ricerca, solo 10 si sono resi conto di un potenziale problema ma poi hanno pensato che fosse un ritardo.
Visori, nuovi sguardi sulla realtà: ecco gli ultimi modelli
L'utente non nota attività sospette
Solo un utente ha segnalato di aver notato delle attività sospette. «Per noi la parte scioccante è stato capire quando i sistemi VR siano fragili in questo momento», ha detto Heather Zheng, professore di ingegneria informatica alla University of Chicago a capo del team che ha svolto l’esperimento. Inoltre Zheng sostiene che l'IA generativa potrebbe rendere questa minaccia ancora più grave, poiché consente a chiunque di clonare istantaneamente le voci delle persone e generare deepfake visivi, che gli hacker potrebbero poi usare per manipolare le persone nelle loro interazioni VR. L'unico vantaggio secondo i ricercatori della University of Chicago è il fatto che visto che l’uso delle tecnologie VR è ancora molto limitato, gli sviluppatori hanno tempo per creare un sistema di controllo e di sicurezza più difficile da manipolare.