content/zh-cn/images/repository/isc/2021/security-and-privacy-risks-of-ar-and-vr-1.jpg

什么是增强现实(AR)和虚拟现实(VR)?

增强现实(AR)和虚拟现实(VR)密切相关,但并不相同。增强现实通过将数字元素(视觉、听觉或感官)添加到现实世界视野中来提高或"增强"现实世界。近年来 AR 最著名的例子之一是流行游戏Pokémon Go。

相比之下,虚拟现实不是增加现有的世界,而是创造自己的网络环境,。虚拟现实通常通过接口(如头戴设备或护目镜)进行体验,而不是在屏幕上观看内容。

混合现实(MR)类似于 AR,但通过投射空间感知和响应的 3D 数字内容而进一步发展。借助 MR,用户可以与物理和虚拟物品和环境进行交互并操作 —— 例如,虚拟球可能会从真实的桌子或墙壁上反弹。

VR、AR 和 MR 的总称是扩展现实(XR)。XR 硬件、软件和服务的全球市场每年都在增长。但这些技术的快速崛起也让一些消费者想知道它们会引起什么隐私和安全问题。

增强现实安全和隐私问题

AR 担忧

增强现实的最大可见危险之一是隐私。用户的隐私面临风险,因为 AR 技术可以看到用户在做什么。AR 收集了很多关于用户是谁以及他们正在做什么的信息 —— 比社交媒体网络或其他形式的技术程度更深。这引起了人们的担忧和疑问:

  • 如果黑客获得对设备的访问权限,潜在的隐私损失巨大。
  • AR 公司如何使用和保护他们从用户那里收集的信息?
  • 企业将增强现实数据存储在何处 —— 本地设备还是云中?如果信息被发送到云,它是加密的吗?
  • AR 公司是否与第三方共享这些数据?如果这样,他们如何使用它?

不可靠的内容

AR 浏览器有助于增强过程,但内容由第三方供应商和应用程序创建和交付。这就提出了可靠性问题,因为 AR 是一个相对较新的领域,认证内容的生成和传输机制仍在不断演化。老练的黑客可以用用户的 AR 代替他们自己的AR,从而误导人们或提供虚假信息。

即使来源真实,各种网络威胁也会使内容不可靠。这些包括欺骗、嗅探和数据操纵。

社交工程

鉴于内容的潜在不可靠性,增强现实系统可以成为欺骗用户的有效工具,作为社交工程攻击的一部分。例如,黑客可以通过虚假标志或显示器扭曲用户对现实的看法,引导他们执行有利于黑客的操作。

恶意软件

AR 黑客可以通过广告将恶意内容嵌入到应用程序中。毫无戒心的用户可能会点击导向人质网站或被恶意软件感染的 AR 服务器的广告,这些服务器包含不可靠的视觉资料 —— 破坏AR安全性。

窃取网络凭据

犯罪分子可能会从运行安卓的可穿戴设备窃取网络凭据。对于使用增强现实和虚拟现实购物应用的零售商来说,黑客攻击可能是一种网络威胁。许多客户已经在他们的用户档案中记录了信用卡详细信息和移动支付解决方案。由于移动支付是一个无缝过程,黑客可能会获得这些访问权限并静悄悄地耗尽帐户。

拒绝服务攻击

另一个潜在的 AR 安全攻击是拒绝服务。举一个例子,依赖 AR 进行工作的用户突然从被正在接收的信息流中切断。对于在危急情况下使用该技术执行任务的专业人员来说,这尤其令人担忧,因为无法获得信息可能会产生严重后果。一个例子可能是,外科医生突然失去对 AR 眼镜上致命实时信息的访问权限,或者驾驶员突然看不见道路,因为他们的 AR 挡风玻璃变成了黑屏。

“中间人”攻击

网络攻击者可以监听 AR 浏览器与 AR 提供商、AR 频道所有者和第三方服务器之间的通信。这可能导致中间人攻击

勒索软件

黑客可以访问用户的增强现实设备并记录他们在 AR 环境中的行为和交互。之后,他们可能会威胁要公开发布这些记录,除非用户支付赎金。对于不希望看到他们的游戏和其他 AR 互动公开的人来说,这可能令人尴尬或痛苦。

物理伤害

可穿戴 AR 设备最大的 AR 安全漏洞之一是物理伤害。一些可穿戴设备比其他设备更耐用,但所有设备都有物理漏洞。保持它们正常工作和安全(例如,不让人带着容易丢失或被盗的头戴设备走开)是安全的一个基本方面。

AR security

虚拟现实的危险和安全问题

VR 安全威胁与 AR 略有不同,因为 VR 限于封闭环境,不涉及与真实物理世界的交互。无论如何,VR 头戴设备复盖了用户的整个视野,如果黑客接管了设备会有危险。例如,他们可以会用导致用户头晕或恶心的方式操纵内容。

VR 担忧

与 AR 一样,隐私是 VR 的一个主要担忧。一个关键的 VR 隐私问题是所收集数据的高度个人化特性 —— 即虹膜或视网膜扫描等生物识别数据、指纹和手印、脸部几何形状和声纹。此类例子包括:

  • 手指跟踪:在虚拟世界中,用户可以像在现实世界中一样使用手势 —— 例如,使用手指在虚拟键盘上键入代码。然而,这样做意味着系统会记录并发送显示手指键入 PIN 的手指跟踪数据。如果攻击者可以捕获该数据,他们将能够重新创建用户的 PIN。
  • 眼动追踪:某些 VR 和 AR 头戴设备也可能包含眼动追踪功能。这些数据可以为恶意行为者提供额外价值。准确了解用户正在查看的内容可能会向攻击者揭示有价值的信息 —— 他们可以捕获这些信息以重新创建用户操作。

由于个人具有独特的运动模式,几乎不可能对 VR 和 AR 跟踪数据进行匿名化。利用在 VR 头戴设备中收集的行为和生物信息,研究人员已经可以非常准确地确定用户 —— 如果 VR 系统被黑客入侵,会出现严重问题。

就像邮政编码、IP 地址和声纹一样,VR 和 AR 跟踪数据应该被视为潜在的"个人身份信息"(PII)。它可以被认为 PII 是因为其他方可以使用它来区分或追踪个人身份,无论是单独还是与其他个人或识别信息结合使用。这使得 VR 隐私成为一个重大问题。

勒索软件

攻击者还可能将旨在误导用户泄露个人信息的功能注入 VR 平台。与 AR 一样,这为勒索软件攻击创造了空间,恶意行为者可在要求赎金之前破坏平台。

假身份或"Deepfakes"

机器学习技术允许操纵声音和视频,使其看起来仍然像真实镜头。如果黑客可以从 VR 头戴设备访问运动跟踪数据,他们可能会使用它来创建数字副本(有时称为deepfakes),从而破坏 VR 安全性。然后,他们可以将其叠加在其他人的 VR 体验上,以进行社交工程攻击。

除了网络安全之外,虚拟现实最大的危险之一是它完全阻止了用户与外界的视觉和听觉连接。首先评估用户环境的物理安全和安全性始终很重要。这也适用于 AR,用户必须保持对周围环境的良好认知,特别是在更具沉浸感的环境中。

评论家有时将 VR 描述为虚拟现实底片,它的其他问题包括:

  • 上瘾潜力。
  • 健康影响 —— 例如感觉头晕、恶心或失去空间意识(在长期使用 VR 后。)
  • 失去人际联系。

AR 和 VR 示例

增强现实、虚拟现实和混合现实的用途多种多样且不断扩大。它们包括:

  • 游戏 —— 从第一人称射击游戏到战略游戏到角色扮演冒险。最著名的 AR 游戏可能是 Pokémon Go。
  • 专业运动 —— 用于帮助专业和业余运动员的培训计划。
  • 虚拟旅行 —— 例如足不出户前往动物园、野生动物园、艺术博物馆等景点的虚拟之旅。
  • 医疗保健 —— 允许医疗专业人员培训,例如,使用手术模拟进行培训。
  • 电影和电视 —— 为电影和节目创造增强体验。

该技术也可用于更严肃的领域。例如,美军用它来数字化增强士兵的训练任务,而在中国,警方用它来识别嫌疑人

Oculus 隐私担心

Oculus 是最知名的 VR 头戴设备之一,也是支持大规模 VR 游戏开发的少数公司之一。Facebook 于 2014年收购了该公司,2020 年,Facebook 宣布未来的 VR 头戴设备需要 Facebook 登录名。这一发展引发了关于 Oculus 隐私的热烈讨论

该决定的批评者担心 Facebook 将如何收集、存储和使用数据,进一步广告定位的可能性,以及被迫使用一些否则选择不使用的服务。这一公告导致隐私意识强烈的用户担心 Oculus 的安全性,他们发布了一波网文,声称将不再使用 Oculus 头戴设备 —— 尽管评论员认为从长远来看这不太可能阻碍 Oculus。

提示:如何在使用 VR 和 AR 系统时保持安全

避免披露过于个人化的信息

不要披露任何过于个人化或不需要披露的信息。使用您的电子邮件设置帐户是一回事,但除非您要明确购买东西,否则不要设置您的信用卡。

审核隐私政策

有时很容易跳过冗长的数据隐私政策或条款和条件。但了解 AR 和 VR 平台背后的公司如何存储和处理您的数据值得一试。例如,他们是否与第三方共享您的数据?他们共享和收集什么样的数据?

使用 VPN

在网络上保持您的身份和数据私密性的一种方法是使用 VPN 服务。如果您需要披露敏感信息,使用 VPN 可以保护您避免该信息泄露。高级加密和更改的 IP 地址可协同工作,以保持您的身份和数据的私密性。随着 AR 和 VR 的发展,VPN 模式可能会在这些技术现实中扩展。

保持固件更新

对于您的 VR 头戴设备和 AR 可穿戴设备,保持固件更新至关重要。除了添加新功能和改进现有功能外,更新还有助于修补安全缺陷。

使用综合反病毒软件

一般来说,保持在线安全的最佳方法是使用主动网络安全解决方案。例如,卡巴斯基全方位安全软件可提供针对各种在线威胁的强大保护。例如,病毒、恶意软件、勒索软件、间谍软件、网络钓鱼和其他新兴的互联网安全威胁。

相关文章:

VR 和 AR 的安全和隐私风险是什么

虚拟现实和增强现实系统的主要危险是什么?了解 AR 和 VR 安全和隐私,包括 Oculus 隐私问题。
Kaspersky Logo