记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

现在担忧VR/AR的安全性,你是不是杞人忧天了?

2017-09-06 23:50

前情提要

虚拟现实(VR)和增强现实(AR)目前正处于风口浪尖,未来将极大地改变我们使用技术的方式。然而,新技术的出现,通常伴随着新的攻击面。看看目前物联网(物联网)的安全现状,就知道不考虑新技术的安全性是多么愚蠢的做法。这就引出一个问题:虚拟现实和增强现实的风险是什么?

简单地说,AR和VR今天的风险很小,未来五年可能不会有太大的风险。然而,这些技术在未来十年可能变得非常危险。

为什么这么说呢?也许看完本文之后,你就会理解了。

很小的攻击面

今天的VR和AR技术是在现有平台的技术上建立起来的,因此新增的攻击面很少。就算是最高级的AR和VR应用,大多也只是在现有设备的基础上添加了新的显示和输入机制。支持这项技术实现的底层计算机(个人电脑、控制台或移动设备),并没有发生太大的变化。AR / VR跟踪软件甚至并不一定需要连接到互联网上,与你为电脑或手机安装其他的任意一个软件相比,AR/VR应用程序并不会带来更大的风险,甚至比你常玩的联网游戏的风险更小。

没有有价值的数据

AR / VR另一个可能会增加风险的途径是通过收集新的数据使你成为更有攻击价值的目标。VR技术可以跟踪你头部的运动(也可能是你的手部),但是这些数据对攻击者或网络犯罪分子而言几乎没有什么用途。AR / VR跟踪系统收集的其他数据,如语音和视频,有它们自己的风险,并不是AR / VR独有的,人们在想共享语音和视频数据已经很多年了。

目前运动跟踪数据具有相对较低的保真度,不会给攻击者或犯罪分子提供太多的数据。例如,VR运动跟踪是相当准确的,但知道你的头部或手部的位置的犯罪价值是微不足道的。

虚拟攻击目前还没有盈利方式

即使有上述的一些缺点,但如果攻击者或犯罪分子能够找到VR/AR攻击的赚钱方法,VR/AR仍然会成为他们行动的目标。问题是,如今AR/VR的大部分早起用户基本上不涉及金钱投入,更别提利用这个来赚钱了。

虚拟现实目前常被应用于游戏领域,通过虚拟技术为玩家营造一个幻想的世界,用户知道这是脱离现实,所以几乎没有机会给攻击者实施类似社会工程学这类常用攻击手段的机会。

另一方面,目前真正的AR还仅仅处于实验阶段,如Google Glass 和Hololens,尚未成为市场上的消费产品。因为尚未普及,因而,AR / VR并没有为攻击者提供足够丰富的攻击目标。

现在是安全的,但未来的形势非常严峻

说到这里,已经给出了一个相对安全的AR / VR威胁景观,这种情况在未来五年内可能都会保持不变。然而,随着这些技术的改进以及产品和应用的普及,它们将带来更大的危险,特别是AR。

请允许我列举几个未来可能出现的关于VR/AR攻击的场景:

1.更精细的跟踪数据,导致更危险的黑客攻击

想象一下未来人们网购的场景,可能已经完成实现了虚拟现实的体验,你可以看到一个虚拟的商店、与物品互动,甚至可以试用。当然,付款支付流程也一体化了,应用程序知道你的信用卡或借记卡信息,当您确定支付账单时,可能会给你发送相关的确认信息。为了增加安全性,在线商店可能会让您输入某种PIN码或代码来验证您的借记卡或信用卡的使用情况。在虚拟世界中,你可以像你在现实世界中做的那样,用手指在虚拟键盘上键入代码(从你的角度来看)。然而,这样做意味着虚拟系统必须记录并传输你手指的类型及跟踪数据。如果攻击者可以捕获这些数据,他们就可以重新创建你的PIN码(攻击者总会有办法获取到你的信用卡/借记卡的数据)。

未来AR/VR耳机可能会包括眼睛跟踪(从合适的角度为你呈现虚拟世界),这类跟踪数据可以为恶意行为者提供额外的价值。如果能够确切地知道你在看什么,这可以向攻击者揭示有价值的信息。例如,如果你在网上商店,你的眼睛跟踪数据显示你最感兴趣的是什么,市场营销人员早就已经使用网络编码技巧来监控你的鼠标移动和点击来查看你的购买习惯和兴趣。捕获这些数据之后,攻击者可以冒充你做一些操作,这与前面提到的手动输入PIN的情况相同,当然了也可以把这些数据转售给感兴趣的市场营销人员。

2.变形的增强现实

在未来,我们可能会随身穿戴着某种AR装置,可以随时开启一个数字平视显示器(HUD);我们可以通过手势把电脑屏幕和浏览器窗口钉在现实世界的各种墙壁上;开车行驶时,一个虚拟的限速标志可能会弹出警告我们开得太快了;通信录可以提示我们认识的人的信息以及对方正在做的事情(甚至你们才第一次见面);当我们在商店购买食品时,可以得到即时的卡路里信息……我们越来越习惯于有AR的生活,这些信息看起来更现实,使得我们更加信任它。但是,如果攻击者可以破解我们的AR设备,这无意为他们提供了一个巨大的机会,如果他们能够毒害我们接收到的信息,就能够轻易的使我们陷入困境。

例如,如果攻击者想要伤害你该怎么操作呢?想象一下你开车到一个陌生的地方,高速公路的前方有一个急转弯,物理限速警示标志显示:降速到25mph以下,但如果攻击者可以控制你的AR系统,他们把限速25mph的标志替换成正常的60mph,这会将你置于一个非常危险的境地。

如果人类已经趋于“程序化”的信任他们的AR平视显示器,上边提到的攻击方式,只是所有攻击方式中的一个小例子。坦率地说,一旦AR变得先进到足以覆盖我们所看到的实时CGI,也就是说AR无处不在成为人类感知的第二天性,那么黑客攻击的方式也会无限的放大。

3.你完美的数字VR克隆

想要实现未来VR的理想,依赖于一些东西。首先是全身数字跟踪,即每一个附属物的每一次运动都被非常精细地跟踪,并在数字空间中重现。其次是完美的数字化身。未来那些跟踪我们的摄像机或设备,将创建我们在物理3D空间的快速画像,并在虚拟世界中完美复制。这听起来像科幻小说,但它真的来临的时间可能比你想象的还要快。

试想,如果恶意攻击者掌握了你的3D模型,以及你在VR中的所有动作的历史,无疑就可以很好的施展社会工程学的各种手段了。动画师和计算机科学家已经研究出了许多方法,根据一个人以前的录音,模拟出他没有说过的话,甚至可以改变一个人的视频,使他们有不同的表情和嘴唇动作。事实上,网上已经有一个类似的例子了,感兴趣的话,可以浏览一下NPR无线电实验室的站点:http://futureoffakenews.com

虽然这些虚假视频还没有完善,但从中已经能够看出未来VR跟踪数据和精确的3D模型可能带来的安全隐患。一个人独特的标识是他独特的动作、语言或其他物理特征,如果你的虚拟数据/3D模型被入侵,黑客们就可以完全的冒充你了。

结论

如今,你真的不应该过多的担心AR/VR的安全性。大多数人只使用这些技术来娱乐,并且尚未引入很多新的数据或攻击面。然而,随着这些技术的成熟,可以想象会有越来越多的犯罪分子瞄准它们。

在期待AR和VR实现它们全部潜力的同时,我们也要为未来的防御工作做好准备。


知识来源: www.mottoin.com/105420.html

阅读:135292 | 评论:0 | 标签:观点

想收藏或者和大家分享这篇好文章→复制链接地址

“现在担忧VR/AR的安全性,你是不是杞人忧天了?”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

ADS

标签云