Weak product cybersecurity is an increasing problem within society, and a growing consumer product is the Virtual Reality (VR) headset. This thesis investigated common vulnerabilities in Internet of Things (IoT) consumer products and performed proof-of-concept exploits on the Meta Quest VR headset. The research method employed in this thesis was black-box penetration testing, a method to find possible vulnerabilities in a system. The method was provided by the Penetration Testing Execution Standard (PTES) and the scope was on network-related attacks on the VR headset. The PTES standard included doing a threat model of the Meta Quest VR headset to find possible vulnerabilities within the scope of this thesis. Furthermore, common vulnerabilities were studied and the findings resulted in the conducted attacks on the VR headset. The attacks were tested on an environment that mimics the situation that the target connects to a public Wireless Fidelity (WiFi) that the adversary created. The result showed that the Meta Quest VR headset had security countermeasures against potential threats. However, among the conducted attacks, a (Domain Name System) DNS spoofing attack was successful where it also was concluded that it could result in a Denial of Service (DoS) attack.

Svag cybersäkerhet för produkter är ett ökande problem i samhället, och en växande konsumentprodukt är Virituella Verklighets (VR) glasögon. Den här avhandlingen undersökte vanliga sårbarheter i Sakernas internet (IoT) konsumentprodukter och undersökte om det var möjligt att utnyttja på Meta Quests VR glasögon. Forskningsmetoden som användes i denna avhandling var black-box penetrationstestning, en metod för att hitta möjliga sårbarheter i ett system. Penetrationstestet utfördes enligt The Penetration Testing Execution Standard (PTES) och omfattningen var på nätverksrelaterade attacker på VR-headsetet. PTES-standarden inkluderade att göra en hot modell av Meta Quest VR-headsetet för att hitta möjliga sårbarheter inom omfattningen av denna avhandling. Vidare studerades vanliga sårbarheter och resultatet resulterade i de utförda attackerna mot VR-headsetet. Attackerna testades i en miljö som efterliknar situationen där offret ansluter till ett offentligt nätverk (WiFi) som förövaren skapat. Resultatet visade att Meta Quest VR headsetet hade motståndskraftiga säkerhetsåtgärder mot potentiella hot. Däremot, bland de utförda attackerna, var en Domännamnssystem (DNS) spoofing attack framgångsrik som också påvisade att attacken kunde resultera i en överbelastnings (DoS) attack.