Риски безопасности и конфиденциальности в виртуальной и дополненной реальности

Что такое дополненная реальность и виртуальная реальность?

Дополненная реальность (AR, augmented reality) и виртуальная реальность (VR, virtual reality) тесно связаны, но это не одно и то же. Дополненная реальность улучшает или «дополняет» реальный мир, привнося в него цифровые элементы: визуальные, звуковые или сенсорные. Один из самых известных примеров дополненной реальности за последнее время – популярная игра Pokémon Go.

Виртуальная реальность, напротив, ничего не добавляет к существующему миру, а создает собственную киберсреду. Для взаимодействия с виртуальной реальностью обычно используются интерфейсы, такие как гарнитура или очки, а не просмотр контента на экране.

Смешанная реальность (MR, mixed reality) похожа на дополненную реальность, но идет еще дальше: в смешанной реальности реализована проекция трехмерного цифрового контента, учитывающего пространство и реагирующего на запросы. Смешанная реальность позволяет взаимодействовать и манипулировать как физическими, так и виртуальными предметами и средами: например, виртуальный мяч может отскочить от реального стола или стены.

Общий термин для виртуальной, дополненной и смешанной реальности – расширенная реальность (XR, extended reality). Мировой рынок оборудования, программного обеспечения и сервисов для расширенной реальности растет с каждым годом. Но быстрый рост этих технологий также заставляет задуматься о сопутствующих проблемах конфиденциальности и безопасности.

Вопросы безопасности и конфиденциальности в дополненной реальности

Проблемы дополненной реальности

Одна из основных опасностей дополненной реальности связана с конфиденциальностью. Конфиденциальность пользователей находится под угрозой, поскольку технологии дополненной реальности позволяют видеть, что делают пользователи. В дополненной реальности собирается гораздо больше информации о том, кем является пользователь и чем он занимается, чем даже в социальных сетях и при использовании других технологий. Это вызывает следующие опасения и вопросы:

• Если злоумышленники получают доступ к устройству, вероятна потенциальная потеря огромного объема конфиденциальных данных.
• Как компании, предоставляющие дополненную реальность, используют и защищают информацию, полученную от пользователей?
• Где компании хранят данные дополненной реальности: локально на устройстве или в облаке? Если информация отправляется в облако, зашифрована ли она?
• Передают ли компании, предоставляющие дополненную реальность, полученные данные третьим лицам? Если да, то как используются эти данные?

Ненадежный контент

Браузеры с дополненной реальностью упрощают сам процесс, но контент создается и предоставляется сторонними поставщиками и приложениями. Следовательно, возникает вопрос надежности контента, поскольку дополненная реальность – относительно новая область, а механизмы генерации и передачи контента все еще развиваются. Изощренные хакеры могут подменить дополненную реальность пользователей своей собственной, введя их в заблуждение заведомо ложной информацией.

Даже если источник контента является надежным, сам контент может оказаться ненадежным вследствие различных кибератак, например, спуфинга (подмены), сниффинга (прослушивания) и манипулирования данными.

Социальная инженерия

Учитывая потенциальную ненадежность контента, системы дополненной реальности могут стать эффективным инструментом обмана пользователей в рамках атак социальной инженерии. Например, злоумышленники могут искажать восприятие реальности пользователями с помощью фальшивых указателей и экранов, и заставить их действовать в своих интересах.

Вредоносные программы

Работающие с дополненной реальностью хакеры могут внедрять вредоносный контент в приложения с помощью рекламы. Ничего не подозревающие пользователи переходят по объявлениям, ведущим на сайты или серверы дополненной реальности, зараженные вредоносными программами и содержащие ненадежные рекламные ролики, что подрывает безопасность дополненной реальности.

Кража сетевых учетных данных

Злоумышленники могут украсть сетевые учетные данные с носимых Android-устройств. Для продавцов, использующих приложения для оплаты с дополненной и виртуальной реальностью, взлом может представлять настоящую киберугрозу, поскольку многие клиенты уже зарегистрировали данные карт и приложения для мобильных платежей в своих профилях. Злоумышленники могут получить доступ к этим учетным записям и втихаря израсходовать на них все ресурсы, поскольку такие устройства ощутимо упрощают мобильные платежи.

Атаки типа «отказ в обслуживании»

Еще один вид потенциальных угроз безопасности в дополненной реальности – это отказ в обслуживании. В качестве примера можно привести внезапное отключение от информационного потока пользователей, использующих дополненную реальность для работы. Это особенно критично для профессионалов, использующих эту технологию для выполнения задач в критических ситуациях, когда отсутствие доступа к информации может иметь серьезные последствия: например, хирург, неожиданно лишающийся доступа к важной информации, поступающей в реальном времени на его очки дополненной реальности, или водитель, внезапно теряющий из виду дорогу, потому что его лобовое стекло дополненной реальности превращается в черный экран.

Атаки типа «человек посередине» (Man-in-the-Middle)

Сетевые злоумышленники могут перехватывать данные, передаваемые между браузером и поставщиком дополненной реальности, владельцами каналов дополненной реальности и сторонними серверами. Это может привести к атакам типа человек посередине.

Программы-вымогатели

Злоумышленники могут получить доступ к устройству дополненной реальности и записывать поведение и действия пользователя в среде дополненной реальности. Затем они могут угрожать опубликовать эти записи, если пользователь не заплатит выкуп. Это может скомпрометировать пользователей, которые не хотят, чтобы их игры и другие действия в дополненной реальности были обнародованы.

Физический ущерб

Одна из наиболее значительных уязвимостей безопасности при использовании дополненной реальности носимых устройств – это физический ущерб. Одни носимые устройства более долговечны, другие – менее, но все устройства имеют физические уязвимости. Сохранение их в функциональном и безопасном состоянии является важным аспектом. Например, гарнитуру можно легко потерять или ее могут украсть.

Вопросы безопасности и угрозы в виртуальной реальности

Угрозы безопасности в виртуальной реальности несколько отличаются от угроз в дополненной реальности, поскольку виртуальная реальность ограничивается закрытыми средами и не предполагает взаимодействия с реальным физическим миром. Тем не менее, гарнитуры виртуальной реальности закрывают все поле зрения пользователя, что может оказаться опасным, если злоумышленники получат контроль над устройством: их манипуляции контентом могут вызвать у пользователя головокружение или тошноту.

Проблемы виртуальной реальности

Конфиденциальность является серьезной проблемой как для дополненной, так и для виртуальной реальности. Ключевой проблемой конфиденциальности в виртуальной реальности является сугубо личный характер собранных данных, поскольку они являются биометрическими: результаты сканирования радужной оболочки или сетчатки глаз, отпечатки пальцев и рук, геометрия лица и спектр голоса. Примеры таких данных:

• Отслеживание пальцев. В виртуальном мире пользователь совершает руками те же жесты, что и в реальном мире, например, пальцами вводит код на виртуальной клавиатуре. При этом система записывает и передает данные отслеживания пальцев, показывающие, как пальцы вводят PIN-код. Если злоумышленник сможет перехватить эти данные, он сможет воссоздать PIN-код пользователя.
• Отслеживание взгляда. Некоторые гарнитуры виртуальной и дополненной реальности также могут включать отслеживание взгляда. Эти данные могут использоваться злоумышленниками. Точное понимание того, куда смотрит пользователь, дает злоумышленнику ценную информацию, которая позволит ему воссоздать действия пользователя.

Анонимизировать данные, полученные в результате отслеживания действий в виртуальной и дополненной реальности, практически невозможно, поскольку каждый человек совершает уникальный набор движений. Поведенческая и биометрическая информация, собранная с помощью гарнитур виртуальной реальности, позволила исследователям с очень высокой степенью точности идентифицировать пользователей, что является реальной проблемой в случае взлома систем виртуальной реальности.

Аналогично почтовым индексам, IP-адресам и спектрам голоса, данные, полученные в результате отслеживания действий в виртуальной и дополненной реальности, можно рассматривать как информацию, позволяющую установить личность, поскольку они могут использоваться для идентификации и отслеживания человека, как отдельно, так и в сочетании с другими персональными или идентифицирующими данными. Поэтому конфиденциальность в виртуальной реальности является серьезной проблемой.

Программы-вымогатели

Злоумышленники также могут внедрять в платформы виртуальной реальности функции, вводящие пользователей в заблуждение и заставляющие раскрывать личные данные. Как и в случае с дополненной реальностью, это создает возможности для атак программ-вымогателей, в результате которых нарушается работа платформы, а затем происходит требование выкупа.

Подделка личности (дипфейки)

Технологии машинного обучения позволяют совершать с голосами и видео такие манипуляции, что их не отличить от настоящих. Если злоумышленнику удалось получить доступ к данным отслеживания движения с гарнитуры виртуальной реальности, он может использовать их для создания цифровой модели (дипфейка), что подрывает надежность виртуальной реальности. Затем созданную модель могут наложить на действия другого человека в виртуальной реальности и провести атаку социальной инженерии.

Помимо проблем кибербезопасности, одна из основных опасностей виртуальной реальности заключается в полной блокировке визуальной и звуковой связи пользователя с внешним миром. Всегда важно в первую очередь оценивать физическую безопасность и защищенность среды пользователя. Это также относится к дополненной реальности, когда пользователи должны максимально четко осознавать свое окружение, особенно в средах с эффектом погружения.

Другие проблемы, связанные с виртуальной реальностью, которые критики часто считают ее недостатками, включают:

• Возможное возникновение зависимости.
• Последствия для здоровья, например, головокружение, тошнота или потеря ориентации в пространстве (после длительного использования виртуальной реальности).
• Потеря связи с людьми.

Примеры дополненной и виртуальной реальности

Сферы применения дополненной реальности, виртуальной реальности и смешанной реальности разнообразны и продолжают расширяться. Они включают:

• Игры: от шутеров от первого лица до стратегических игр и ролевых приключений. Самой известной игрой дополненной реальности является Pokémon Go.
• Профессиональный спорт: программы тренировок для профессиональных спортсменов и для любителей.
• Виртуальные путешествия – виртуальные поездки к достопримечательностям: зоопаркам, сафари-паркам, художественным музеям и прочим, не выходя из дома.
• Здравоохранение: обеспечивает обучение медицинских работников, например, с использованием хирургических симуляторов.
• Кино и телевидение: усиление впечатлений от фильмов и шоу.

Технологии виртуальной и дополненной реальности также используется в более серьезных областях. Например, армия США использует их для цифровой оптимизации учебных миссий для солдат, а в Китае они используются в полиции для выявления подозреваемых.

Проблемы конфиденциальности Oculus

Oculus – одна из самых известных гарнитур для виртуальной реальности и одна из немногих компаний, которые активно поддерживают разработку игр для виртуальной реальности. Facebook приобрел компанию Oculus в 2014 году, а в 2020 году объявил, что для будущих гарнитур виртуальной реальности потребуются учетные данные Facebook. Это событие вызвало бурную дискуссию о конфиденциальности Oculus.

Противники такого решения были обеспокоены тем, как Facebook собирает, хранит и использует данные, и, возможно, применяет их в таргетированной рекламе. Также их критике подверглось принуждение пользователей к выбору сервисов, которые они, возможно, не выбрали бы в противном случае. Объявление Facebook вызвало волну сообщений от пользователей, заботящихся о конфиденциальности и обеспокоенных безопасностью Oculus, в которых утверждалось, что они больше не будут использовать гарнитуру Oculus. Однако другие комментаторы считали, что это вряд ли помешает компании Oculus в долгосрочной перспективе.

Советы: как сохранить безопасность при использовании виртуальной и дополненной реальности

Не раскрывайте слишком личную информацию

Не раскрывайте информацию, которая носит слишком личный характер и не требует раскрытия. Можно создать учетную запись с указанием электронной почты, но не следует указывать данные кредитной карты, если вы ничего не покупаете.

Ознакомьтесь с политикой конфиденциальности

Легко упустить важные моменты, читая длинную политику конфиденциальности и условия использования. Но стоит выяснить, как компании, предоставляющие сервисы на платформах дополненной и виртуальной реальности, хранят данные и что они с ними делают. Передают ли они данные третьим лицам? Какие данные они собирают и передают?

Используйте VPN

Использование VPN – это один из способов сохранить конфиденциальность личности и данных в интернете. Если требуется раскрыть конфиденциальную информацию, использование VPN может защитить эту информацию от компрометации. Совместное применение расширенного шифрования и измененного IP-адреса позволяет сохранить конфиденциальность личности и данных. Сферы использования VPN, вероятно, расширятся по мере развития виртуальной и дополненной реальности.

Поддерживайте актуальность прошивки

Крайне важно своевременно обновлять прошивку гарнитур виртуальной реальности и носимых устройств дополненной реальности. Помимо добавления новых функций и улучшения существующих, обновления помогают исправлять уязвимости в системах безопасности.

Используйте комплексные антивирусные решения

Лучший способ сохранить безопасность в интернете – использовать решения для кибербезопасности превентивного действия. Например, Kaspersky Total Security обеспечивает надежную защиту от различных онлайн-угроз, таких как вирусы, вредоносные программы, программы-вымогатели, шпионские программы, фишинг и другие постоянно возникающие угрозы интернет-безопасности.

Статьи по теме:

• Мошенничество в онлайн-играх – как сохранить безопасность
• 7 самых распространенных опасностей в онлайн-играх для детей
• Что такое интернет вещей? Рекомендации по безопасности интернета вещей
• Мошенничество в онлайн-играх во время пандемии – как сохранить безопасность