Дополненная реальность (AR, augmented reality) и виртуальная реальность (VR, virtual reality) тесно связаны, но это не одно и то же. Дополненная реальность улучшает или «дополняет» реальный мир, привнося в него цифровые элементы: визуальные, звуковые или сенсорные. Один из самых известных примеров дополненной реальности за последнее время – популярная игра Pokémon Go.
Виртуальная реальность, напротив, ничего не добавляет к существующему миру, а создает собственную киберсреду. Для взаимодействия с виртуальной реальностью обычно используются интерфейсы, такие как гарнитура или очки, а не просмотр контента на экране.
Смешанная реальность (MR, mixed reality) похожа на дополненную реальность, но идет еще дальше: в смешанной реальности реализована проекция трехмерного цифрового контента, учитывающего пространство и реагирующего на запросы. Смешанная реальность позволяет взаимодействовать и манипулировать как физическими, так и виртуальными предметами и средами: например, виртуальный мяч может отскочить от реального стола или стены.
Общий термин для виртуальной, дополненной и смешанной реальности – расширенная реальность (XR, extended reality). Мировой рынок оборудования, программного обеспечения и сервисов для расширенной реальности растет с каждым годом. Но быстрый рост этих технологий также заставляет задуматься о сопутствующих проблемах конфиденциальности и безопасности.
Одна из основных опасностей дополненной реальности связана с конфиденциальностью. Конфиденциальность пользователей находится под угрозой, поскольку технологии дополненной реальности позволяют видеть, что делают пользователи. В дополненной реальности собирается гораздо больше информации о том, кем является пользователь и чем он занимается, чем даже в социальных сетях и при использовании других технологий. Это вызывает следующие опасения и вопросы:
Ненадежный контент
Браузеры с дополненной реальностью упрощают сам процесс, но контент создается и предоставляется сторонними поставщиками и приложениями. Следовательно, возникает вопрос надежности контента, поскольку дополненная реальность – относительно новая область, а механизмы генерации и передачи контента все еще развиваются. Изощренные хакеры могут подменить дополненную реальность пользователей своей собственной, введя их в заблуждение заведомо ложной информацией.
Даже если источник контента является надежным, сам контент может оказаться ненадежным вследствие различных кибератак, например, спуфинга (подмены), сниффинга (прослушивания) и манипулирования данными.
Социальная инженерия
Учитывая потенциальную ненадежность контента, системы дополненной реальности могут стать эффективным инструментом обмана пользователей в рамках атак социальной инженерии. Например, злоумышленники могут искажать восприятие реальности пользователями с помощью фальшивых указателей и экранов, и заставить их действовать в своих интересах.
Вредоносные программы
Работающие с дополненной реальностью хакеры могут внедрять вредоносный контент в приложения с помощью рекламы. Ничего не подозревающие пользователи переходят по объявлениям, ведущим на сайты или серверы дополненной реальности, зараженные вредоносными программами и содержащие ненадежные рекламные ролики, что подрывает безопасность дополненной реальности.
Кража сетевых учетных данных
Злоумышленники могут украсть сетевые учетные данные с носимых Android-устройств. Для продавцов, использующих приложения для оплаты с дополненной и виртуальной реальностью, взлом может представлять настоящую киберугрозу, поскольку многие клиенты уже зарегистрировали данные карт и приложения для мобильных платежей в своих профилях. Злоумышленники могут получить доступ к этим учетным записям и втихаря израсходовать на них все ресурсы, поскольку такие устройства ощутимо упрощают мобильные платежи.
Атаки типа «отказ в обслуживании»
Еще один вид потенциальных угроз безопасности в дополненной реальности – это отказ в обслуживании. В качестве примера можно привести внезапное отключение от информационного потока пользователей, использующих дополненную реальность для работы. Это особенно критично для профессионалов, использующих эту технологию для выполнения задач в критических ситуациях, когда отсутствие доступа к информации может иметь серьезные последствия: например, хирург, неожиданно лишающийся доступа к важной информации, поступающей в реальном времени на его очки дополненной реальности, или водитель, внезапно теряющий из виду дорогу, потому что его лобовое стекло дополненной реальности превращается в черный экран.
Атаки типа «человек посередине» (Man-in-the-Middle)
Сетевые злоумышленники могут перехватывать данные, передаваемые между браузером и поставщиком дополненной реальности, владельцами каналов дополненной реальности и сторонними серверами. Это может привести к атакам типа человек посередине.
Программы-вымогатели
Злоумышленники могут получить доступ к устройству дополненной реальности и записывать поведение и действия пользователя в среде дополненной реальности. Затем они могут угрожать опубликовать эти записи, если пользователь не заплатит выкуп. Это может скомпрометировать пользователей, которые не хотят, чтобы их игры и другие действия в дополненной реальности были обнародованы.
Физический ущерб
Одна из наиболее значительных уязвимостей безопасности при использовании дополненной реальности носимых устройств – это физический ущерб. Одни носимые устройства более долговечны, другие – менее, но все устройства имеют физические уязвимости. Сохранение их в функциональном и безопасном состоянии является важным аспектом. Например, гарнитуру можно легко потерять или ее могут украсть.
Угрозы безопасности в виртуальной реальности несколько отличаются от угроз в дополненной реальности, поскольку виртуальная реальность ограничивается закрытыми средами и не предполагает взаимодействия с реальным физическим миром. Тем не менее, гарнитуры виртуальной реальности закрывают все поле зрения пользователя, что может оказаться опасным, если злоумышленники получат контроль над устройством: их манипуляции контентом могут вызвать у пользователя головокружение или тошноту.
Конфиденциальность является серьезной проблемой как для дополненной, так и для виртуальной реальности. Ключевой проблемой конфиденциальности в виртуальной реальности является сугубо личный характер собранных данных, поскольку они являются биометрическими: результаты сканирования радужной оболочки или сетчатки глаз, отпечатки пальцев и рук, геометрия лица и спектр голоса. Примеры таких данных:
Анонимизировать данные, полученные в результате отслеживания действий в виртуальной и дополненной реальности, практически невозможно, поскольку каждый человек совершает уникальный набор движений. Поведенческая и биометрическая информация, собранная с помощью гарнитур виртуальной реальности, позволила исследователям с очень высокой степенью точности идентифицировать пользователей, что является реальной проблемой в случае взлома систем виртуальной реальности.
Аналогично почтовым индексам, IP-адресам и спектрам голоса, данные, полученные в результате отслеживания действий в виртуальной и дополненной реальности, можно рассматривать как информацию, позволяющую установить личность, поскольку они могут использоваться для идентификации и отслеживания человека, как отдельно, так и в сочетании с другими персональными или идентифицирующими данными. Поэтому конфиденциальность в виртуальной реальности является серьезной проблемой.
Программы-вымогатели
Злоумышленники также могут внедрять в платформы виртуальной реальности функции, вводящие пользователей в заблуждение и заставляющие раскрывать личные данные. Как и в случае с дополненной реальностью, это создает возможности для атак программ-вымогателей, в результате которых нарушается работа платформы, а затем происходит требование выкупа.
Подделка личности (дипфейки)
Технологии машинного обучения позволяют совершать с голосами и видео такие манипуляции, что их не отличить от настоящих. Если злоумышленнику удалось получить доступ к данным отслеживания движения с гарнитуры виртуальной реальности, он может использовать их для создания цифровой модели (дипфейка), что подрывает надежность виртуальной реальности. Затем созданную модель могут наложить на действия другого человека в виртуальной реальности и провести атаку социальной инженерии.
Помимо проблем кибербезопасности, одна из основных опасностей виртуальной реальности заключается в полной блокировке визуальной и звуковой связи пользователя с внешним миром. Всегда важно в первую очередь оценивать физическую безопасность и защищенность среды пользователя. Это также относится к дополненной реальности, когда пользователи должны максимально четко осознавать свое окружение, особенно в средах с эффектом погружения.
Другие проблемы, связанные с виртуальной реальностью, которые критики часто считают ее недостатками, включают:
Сферы применения дополненной реальности, виртуальной реальности и смешанной реальности разнообразны и продолжают расширяться. Они включают:
Технологии виртуальной и дополненной реальности также используется в более серьезных областях. Например, армия США использует их для цифровой оптимизации учебных миссий для солдат, а в Китае они используются в полиции для выявления подозреваемых.
Oculus – одна из самых известных гарнитур для виртуальной реальности и одна из немногих компаний, которые активно поддерживают разработку игр для виртуальной реальности. Facebook приобрел компанию Oculus в 2014 году, а в 2020 году объявил, что для будущих гарнитур виртуальной реальности потребуются учетные данные Facebook. Это событие вызвало бурную дискуссию о конфиденциальности Oculus.
Противники такого решения были обеспокоены тем, как Facebook собирает, хранит и использует данные, и, возможно, применяет их в таргетированной рекламе. Также их критике подверглось принуждение пользователей к выбору сервисов, которые они, возможно, не выбрали бы в противном случае. Объявление Facebook вызвало волну сообщений от пользователей, заботящихся о конфиденциальности и обеспокоенных безопасностью Oculus, в которых утверждалось, что они больше не будут использовать гарнитуру Oculus. Однако другие комментаторы считали, что это вряд ли помешает компании Oculus в долгосрочной перспективе.
Не раскрывайте слишком личную информацию
Не раскрывайте информацию, которая носит слишком личный характер и не требует раскрытия. Можно создать учетную запись с указанием электронной почты, но не следует указывать данные кредитной карты, если вы ничего не покупаете.
Ознакомьтесь с политикой конфиденциальности
Легко упустить важные моменты, читая длинную политику конфиденциальности и условия использования. Но стоит выяснить, как компании, предоставляющие сервисы на платформах дополненной и виртуальной реальности, хранят данные и что они с ними делают. Передают ли они данные третьим лицам? Какие данные они собирают и передают?
Используйте VPN
Использование VPN – это один из способов сохранить конфиденциальность личности и данных в интернете. Если требуется раскрыть конфиденциальную информацию, использование VPN может защитить эту информацию от компрометации. Совместное применение расширенного шифрования и измененного IP-адреса позволяет сохранить конфиденциальность личности и данных. Сферы использования VPN, вероятно, расширятся по мере развития виртуальной и дополненной реальности.
Поддерживайте актуальность прошивки
Крайне важно своевременно обновлять прошивку гарнитур виртуальной реальности и носимых устройств дополненной реальности. Помимо добавления новых функций и улучшения существующих, обновления помогают исправлять уязвимости в системах безопасности.
Используйте комплексные антивирусные решения
Лучший способ сохранить безопасность в интернете – использовать решения для кибербезопасности превентивного действия. Например, Kaspersky Total Security обеспечивает надежную защиту от различных онлайн-угроз, таких как вирусы, вредоносные программы, программы-вымогатели, шпионские программы, фишинг и другие постоянно возникающие угрозы интернет-безопасности.
Статьи по теме: