Meta quiere que los dispositivos de realidad virtual sean seguros contra ataques cibernéticos y vulnerabilidades de seguridad por eso está invitando a los hacker a probar los auriculares VR y más.
Cuando surge una nueva tecnología, los delincuentes cibernéticos y los estafadores casi de inmediato echan un vistazo para ver qué hay para ellos.
Internet, los teléfonos inteligentes y el Internet de las cosas se han vuelto cada vez más parte de la forma en que vivimos nuestras vidas y todas estas tecnologías están en el punto de mira de hackers malintencionados que buscan robar contraseñas, información personal, datos bancarios y más.
Por lo tanto, a medida que el metaverso y la realidad virtual emergen como una nueva forma de vivir, trabajar y relajarse en Internet, estas plataformas también se convertirán rápidamente en el objetivo de los ciberdelincuentes, deseosos de encontrar y explotar vulnerabilidades en el hardware y el software o tal vez en utilizar el tecnología para apoyar sus estafas.
Ahora el propietario de Facebook Meta que está invirtiendo grandes sumas de dinero en sus proyectos de creación de metaversos, quiere adelantarse a los hackers pidiendo a los investigadores de seguridad que identifiquen vulnerabilidades y problemas en productos relacionados con metaversos, como Meta Quest, Meta Quest Pro y Meta. Quest Touch Pro, con revelaciones genuinas recompensadas con pagos de recompensas por vulnerabilidades que potencialmente ascienden a cientos de miles de dólares.
Facebook ha operado un programa de recompensas por vulnerabilidades para sus aplicaciones web desde 2011 pero a pesar de que el metaverso es un pilar clave de la estrategia comercial de Meta la empresa aún es relativamente nueva en el desarrollo de hardware.
Sin embargo, al alentar a los expertos en seguridad cibernética de fuera de Meta a hackear el metaverso, la empresa busca mejorar la seguridad de los productos para todos.
“Una de nuestras prioridades es integrar aún más a la comunidad de investigación externa con nosotros en nuestro viaje para asegurar el metaverso. Debido a que este es un espacio relativamente nuevo para muchos, estamos trabajando para que la tecnología sea más accesible para los cazadores de vulnerabilidades para ayudarlos y enviar informes válidos más rápido”, dice Neta Oren, gerente de analistas de seguridad y líder de recompensas por vulnerabilidades en Meta.
Parte de la estrategia detrás de este trabajo implica poner los cascos de realidad virtual de Meta frente a investigadores de seguridad y hackers logrando esto con Meta BountyCon, una conferencia de seguridad centrada en recompensas de vulnerabilidades que permite a los cazadores probar productos.
El evento más reciente se centró en las amenazas emergentes en el espacio de la realidad virtual, algo que Oren describe como un movimiento intencional hacia “el objetivo de hacer que toda la industria sea más segura”.
Meta ha actualizado sus términos de recompensas por vulnerabilidades para resaltar que sus productos más recientes, Meta Quest Pro y los controladores Meta Quest Touch Pro son elegibles para el programa de recompensas por vulnerabilidades, y ha agregado nuevas pautas de pago para la tecnología VR, incluidos las vulnerabilidades específicas de Meta Quest Pro. .
Y para aquellos que encuentran vulnerabilidades de seguridad en la tecnología de realidad virtual y metaverso de Meta hay recompensas financieras por recompensas de vulnerabilidades de potencialmente cientos de miles de dólares.
Entre otras cosas, las pautas de pago detallan cómo los pagos por descubrir vulnerabilidades de ejecución remota de código móvil (vulnerabilidades que podrían permitir que un atacante ejecute malware o tome el control de un dispositivo) podrían ser de hasta $300,000, mientras que los investigadores que descubren vulnerabilidades de apropiación de cuentas podrían ser recompensado con hasta $ 130,000.
Las recompensas financieras son altas porque Meta quiere alentar a los hackers de hardware que quizás no hayan mirado antes las ofertas de realidad virtual de la compañía.
“Queremos ayudar a los investigadores a priorizar sus esfuerzos y centrarse en algunas de las áreas de mayor impacto en nuestra plataforma”, dice Oren.
El esquema de recompensas por vulnerabilidades ya ha resultado en la divulgación de varias no descubiertas anteriormente.
Una divulgación presentada en BountyCon encontró una vulnerabilidad en el flujo oAuth de Meta Quest, un estándar abierto que se utiliza para otorgar a sitios web o aplicaciones acceso a la información del usuario en otros sitios web, lo que podría haber llevado a un atacante a obtener el control del token de acceso de un usuario y el control de su cuenta, con sólo dos clics
“Solucionamos esta vulnerabilidad, nuestra investigación no encontró evidencia de abuso y recompensamos este informe con un total de $ 44,250, lo que refleja el impacto de la vulnerabilidad”, dice Oren.
Otro investigador recibió $ 27,200 después de encontrar una vulnerabilidad que podría haber permitido a un atacante eludir la 2FA basada en SMS al explotar una vulnerabilidad de limitación de velocidad para forzar bruscamente el pin de verificación requerido para confirmar el número de teléfono de alguien. La vulnerabilidad también se solucionó después de la divulgación.
Es posible que estas vulnerabilidades no se hayan descubierto, al menos no tan rápido, sin el esquema de recompensas por vulnerabilidades, razón por la cual, para Meta, es importante continuar expandiéndolo.
“Agradecemos cualquier contribución de la comunidad externa para tener la mayor cantidad posible de ojos en el código, continuar probando nuestros productos y hacerlos más seguros”, dice Oren.
El programa de recompensas por vulnerabilidades para el metaverso sigue los pasos de otros esquemas de recompensas por vulnerabilidades de Meta, algunos de los cuales se han estado ejecutando durante una década, y la compañía también cuenta con una variedad de equipos de seguridad de la información para ayudar a garantizar que el metaverso y las otras plataformas de Meta están tan seguros contra las amenazas cibernéticas como sea posible.
Incluyen revisiones de seguridad de los productos, un equipo de modelado de amenazas, un equipo rojo que realiza pruebas de penetración contra la empresa y más, que se suma al programa de recompensas por vulnerabilidades. Todo este esfuerzo encaja en Meta para garantizar que cualquier producto lanzado sea lo más seguro posible contra tantas amenazas.
“Estas son todas las cosas que hemos aprendido a lo largo de los años y que aplicamos cuando creamos nuevos productos, por lo que los nuevos productos ya tienen todo esto incorporado”, dice Oren.
Después de que se hayan investigado y mitigado las nuevas vulnerabilidades, que se divulgan como parte del esquema de recompensas por vulnerabilidades, se implementan actualizaciones de seguridad en los productos. Para garantizar que se apliquen las actualizaciones de seguridad que corrigen las vulnerabilidades, los productos de realidad virtual de Meta comprueban automáticamente si hay actualizaciones en el momento del lanzamiento y luego las aplican.
“Estamos compartiendo estas vulnerabilidades públicamente para asegurarnos de que todos en la industria puedan aprender de nosotros. Es común que una vez que una gran empresa publica este tipo de cosas, otras empresas buscan internamente algo similar”, explica Oren.
Y debido a que los investigadores externos no se limitan a buscar productos Meta, si encuentran algo en Meta Quest Pro u otro dispositivo Meta, también es probable que busquen productos similares creados por otros.
“Sabemos que nuestros investigadores no solo buscan en Meta. Entonces, si encuentran una vulnerabilidad con nosotros podrían buscarlo en nuestros competidores y también se lo informarán”, dice Oren.
“Es por eso que creemos que la educación es tan importante porque los investigadores, lo que sea que aprendan con nosotros, lo implementarán para otras empresas mientras cazan”, dice ella.
Fuente: https://www.zdnet.com/article/hacking-the-metaverse-why-meta-wants-you-to-find-the-flaws-in-its-newest-headsets/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.