Как минимум один программист-энтузиаст смог обойти систему авторизации через Facebook для гарнитуры Oculus Quest 2 и получить root-доступ к устройству. Специалисты некоммерческой организации в сфере безопасности XRSI проверили способ взлома и подтвердили его работоспособность. XRSI сейчас занялись юридической и технической защитой как хакера, так и разработанного им метода. Это необходимо для предотвращения нападок на автора джейлбрейка со стороны Facebook, а также для открытой публикации инструкций по взлому без наложения на них запрета по суду.
В середине октября старший инженер Mozilla Роберт Лонг (Robert Long) объявил награду $5 тыс. за взлом Oculus Quest 2.
Немного позже разработчик Палмер Лаки (Palmer Luckey), который продал свой стартап Oculus компании Facebook за $2 млрд, также присоеднился к этой акции по созданию джейлбрейка и удвоил награду.
Цель взлома и получения root-доступа к устройству Oculus Quest 2 — убрать в нем требование входа через Facebook, отключить телеметрию и открыть платформу для неофициальных магазинов приложений.
Чтобы оградить механизм взлома Oculus Quest 2 от запрета со стороны Facebook предлагается использовать «право на ремонт». По законам многих стран пользователь должен иметь возможность контролировать оборудование и программное обеспечение, которым он владеет. Фактически, с помощью джейлбрейка владельцы устройств могут пользоваться купленными устройствами по личному усмотрению, обходя запреты и блокировки производителя. Сейчас такие методы взлома распространены в основном для смартфонов, планшетов и носимых гаджетов.
Организация XRSI планирует распространить данный способ расширения возможностей также на устройства дополненной и виртуальной реальности. В противном случае производителям и продавцам стоит говорить пользователям правду — что они не купили, а взяли устройства в аренду.
В настоящее время XRSI продолжает принимать информацию от других хакеров по взлому Oculus Quest 2 и других гарнитур и обещает защищать их находки.
В августе этого года Facebook объявила, что с выходом своей новой VR-гарнитуры Oculus Quest 2 вводится обязательная авторизация через учетные записи в соцсети. Однако, когда в октябре первые пользователи шлемов начали регистрироваться на площадке, ложные срабатывания системы проверки учетных записей привели к их блокировкам.
Многие пользователи, кто пытался повторно активировать старые учетные записи, чтобы использовать Quest 2, заявили о мгновенных блокировках аккаунтов. Попытка создать новую учетную запись также ни к чему не приводила.
Гарнитура Oculus Quest 2 поступила в продажу 14 октября по цене от $299.
См. также:
- «Oculus вводит обязательную авторизацию через Facebook с октября 2020 года»
- «Некоторым пользователям Oculus Quest 2 при попытке войти через Facebook заблокировали аккаунт в соцсети»
- «Facebook не будет банить игроков Oculus за использование нескольких VR-шлемов с одного аккаунта»
- «Facebook представила VR-гарнитуру Oculus Quest 2 за $299»
Gugic
Все-таки не выдержал и купил Quest 2. Реанимировал пятилетней давности фейсбук аккаунт, на котором из активности были только тестовые приложения по старой работе (а других аккаунтов в фейсбуке и не было никогда). И таки что вы думаете? При попытке залогиниться в устройство схватил бан аккаунта с обычной клоунадой вида «пришлите фотографию», «пришлите видео», дальше я уже не пошел, насколько знаю там дальше начинаются goverment issued id, коие я никому отправлять, конечно же, не собираюсь. Потрясающе.
v1000
Акция! Акция! Каждому новому покупателю бесплатный бан в подарок!
0xf0a00
Такие же вопросы, почему какая ссаная соцсеть считает необходимым и законным требовать с меня паспорт, права и прочую чувствительную информацию.
delhi_heir
Приучают детей с малолетства к интернету по паспорту. :(
istepan
Этот goverment issued id от балды заполнить нельзя?
DaemonGloom
ID — это не текстовое поле. Это фотография паспорта в нашем случае.
istepan
Ясно. Что будет если подсунуть фото с липовыми данными? Например с помощью фотошопа.
vesper-bot
Будет Ащьф Лштшфум.
dartraiden
Там требуется скан или фото.
printf
Я в гугл отправлял однажды фейковый российский паспорт на ФИО Ayanami Rei, внезапно прокатило. Их алгоритм валидирует, наверное.
Alert1234
Я фейсбуком и раньше пользовался регулярно, в некоторых группах там читаю и пишу (в т.ч. в группе Oculus Quest Community). Quest 2 подключился к аккаунту без проблем.
Проблемы хоть и возникают, но не у всех ведь, и вроде они все таки решаются через саппорт. Наверное проще дописаться до поддержки Oculus а не в фейсбук.
derpymarine
Думаю, что претензия совсем в другом. Человек покупает оборудование, а не службу. Соответственно многим не нравится, когда они получают в придачу обязательную службу, которая не помогает, а мешает(а ещё торгует их данными). Почему человек за свои деньги должен помогать кому-то их зарабатывать?
Alert1234
Мне тоже не нравится такая фигня, но девайс стоит того чтобы и потерпеть.
Фейсбук выпускает устройство с расчетом на интеграцию в будущем со своей виртуальной социальной сетью Facebook Horizon.
qw1
А если мне даром не нужна их виртуальная соц. сеть, а я просто хочу по вечерам играть в Beat Saber? Почему я для этого должен отправлять сканы паспорта? Кроме того, их ПО висит на моём компьютере с root-правами и может сливать что угодно. Ладно, если бы это был анонимный компьютер — они не знают что у кого искать. Но добавляя ещё идентификацию личности, получаем удобный сервис по продаже любых инсайдов.
Alert1234
«У вас есть такой же, но без крыльев? Нет? Будем искать.»
Gugic
Поддержка окулуса отправит проходить процедуру валидации. Они могут приоритет поднять конкретному случаю, но не поменять процедуру. Это стандартная практика. А я не очень хочу светить документами лишний раз. Да и не всегда помогает.
Я как бы свою проблему решил. Способом, который возможно (а возможно и нет, что я на себя наговаривать буду) нарушает community guidelines.
Но в целом — просто знайте что однажды Фейсбук может отправить вас в перманентный бан без права обжалования, по самым разным причинам. И все покупки в oculus store так же исчезнут вместе с аккаунтом.
nikolayv81
Интересно если покупать через оф магазин то можно превратить его в изримованное / изцарапонное непонятно что а потом сдать по гарантии как неработающее?