【普渡眾生】Meta元宇宙安全計劃 重金搵硬件漏洞對手都得益
Facebook 母公司 Meta 積極開發元宇宙技術及硬件配套,相信好多人都知,原來 Meta 在推出 Meta Quest Pro 這類虛擬實景眼鏡及控制器時,都不忘關注硬件的網絡安全問題,廣邀專家測試新硬件的安全性,至今已派出數十萬港元賞金,不過, Meta 的賞金計劃背後還有宏願,就是一併推動業界產品的安全性,造福用家。
Meta 上年 10 月推出新一代專為 Metaverse 元宇宙使用的虛擬實景裝置 Meta Quest Pro,有用家測試後,發現眼罩可準確追蹤到用家的視點同表情,令用家的 avatar 可以如實反映出來,而 Touch Pro 內藏感應器,亦可細緻反映用家雙手位置及細微動作,包括交叉手掌等,未來用家進入元宇宙就可以有更多互動。
不過,講到尾 Meta Quest Pro 都是一部 IoT(物聯網)裝置,即是同樣有被入侵的風險,所以 Meta 亦特別著重裝置的安全性,除了交由內部 red team 作出滲透測試,亦邀請網絡安全專家加入 Meta BountyCon 賞金獵人計劃,參加者可獲得 Meta 詳細的使用教學及技術指導,等專家更容易搵出潛在漏洞。
視乎漏洞的嚴重性,Meta 可提供過十萬美元獎金,例如如果漏洞可讓入侵者遙距執行惡意編碼,取得裝置控制權,可獲最高 30 萬美元賞金,較低層次的如奪取用家帳戶,都會有 13 萬,發言人話賞金會比一般計劃高,目的是吸引更多研究員參加。
據講計劃推出以來,已讓 Meta 修補了多項安全漏洞。其中一個獲得 4.4 萬美元賞金的漏洞同 Meta Quest 登入網站或服務時的 oAuth 驗證 token 有關,黑客只須執行兩個點擊就可取得帳戶控制權。另一個密碼輸入限制漏洞,就可讓黑客用暴力破解手法繞過 2FA 帳戶驗證,都獲得 2.7 萬賞金。
Meta 特別設立 Meta BountyCon 計劃,除了希望保障旗下 Metaverse 硬件產品有足夠的安全性,減少用家使用時被入侵的機會,最重要是可提升相同產品的安全程度。發言人解釋,同類型產品並非 Meta 獨有,市面上亦有其他競爭者,如果參與的安全專家通過計劃發現漏洞,相信不會止步於 Meta 產品上,而會以近似的方法嘗試攻擊其他產品,可以增加發現漏洞的機會。
另一方面,Meta 在確認及修補漏洞後,亦會將詳細資料公開,令競爭對手或潛在生產商可以更有效審視現有產品,或提前在新產品的設計過程中留意相關問題,換言之 Meta 出錢,然後業界及用家都會受益,認真功德無量。
相關文章:【Android手機漏洞】1分鐘破解鎖定螢幕 回報者獲Google獎賞7萬美金