[ad_1]
Исследователи опубликовали «Face-Mic», первую работу, в которой исследуется, как функции голосовых команд на гарнитурах виртуальной реальности могут привести к серьезным утечкам конфиденциальной информации, известным как «атаки подслушивания».
Исследование показывает, что хакеры могут использовать популярные гарнитуры виртуальной реальности (AR/VR) со встроенными датчиками движения для записи малозаметной динамики лица, связанной с речью, для кражи конфиденциальной информации, передаваемой с помощью голосовых команд, включая данные кредитных карт и пароли.
Распространенные на рынке системы AR/VR включают популярные бренды Oculus Quest 2, HTC Vive Pro и PlayStation VR.
Исследование под руководством Инъин «Дженнифер» Чен из Университета Рутгерса в Нью-Брансуике будет представлено на ежегодной Международной конференции по мобильным вычислениям и сетям в марте.
Чтобы продемонстрировать наличие уязвимостей в системе безопасности, Чен и ее коллеги-исследователи WINLAB разработали атаку с прослушиванием, нацеленную на гарнитуры AR/VR, известную как «Face-Mic».
«Face-Mic — это первая работа, которая выводит личную и конфиденциальную информацию, используя динамику лица, связанную с живой человеческой речью, при использовании устройств AR / VR, устанавливаемых на лицо», — сказал Чен.
«Наше исследование показывает, что Face-Mic может получать конфиденциальную информацию о владельце гарнитуры с помощью четырех основных гарнитур AR/VR, включая самые популярные: Oculus Quest и HTC Vive Pro».
Исследователи изучили три типа вибраций, улавливаемых датчиками движения гарнитур AR/VR, включая движения лица, связанные с речью, вибрации костей и воздушные вибрации. Чен отметил, что вибрации костей, в частности, богато закодированы подробной информацией о поле, личности и речи.
«Проанализировав лицевую динамику, захваченную датчиками движения, мы обнаружили, что как картонные гарнитуры, так и гарнитуры высокого класса подвержены уязвимостям безопасности, раскрывая конфиденциальную речь пользователя и информацию о говорящем без разрешения», — сказал Чен.
Хотя поставщики обычно имеют политику использования функции голосового доступа в микрофонах гарнитуры, исследование Чена показало, что встроенные датчики движения, такие как акселерометр и гироскоп в гарнитуре виртуальной реальности, не требуют никакого разрешения для доступа. Эта уязвимость в системе безопасности может быть использована злоумышленниками, намеревающимися совершить атаки с прослушиванием.
Подслушивающие злоумышленники также могут извлекать простой речевой контент, включая цифры и слова, для получения конфиденциальной информации, такой как номера кредитных карт, номера социального страхования, номера телефонов, PIN-коды, транзакции, даты рождения и пароли. Разглашение такой информации может привести к краже личных данных, мошенничеству с кредитными картами и утечке конфиденциальной и медицинской информации.
Чен сказал, что как только пользователь был идентифицирован хакером, атака с прослушиванием может привести к дальнейшему раскрытию конфиденциальной информации и образа жизни пользователя, такой как история путешествий AR / VR, предпочтения в играх / видео и предпочтениях в отношении покупок. Такое отслеживание ставит под угрозу конфиденциальность пользователей и может быть прибыльным для рекламных компаний.
Oculus Quest, например, поддерживает голосовую диктовку для ввода веб-адресов, управления гарнитурой и изучения коммерческих продуктов. Исследование Rutgers Face-Mic показывает, что хакеры могут использовать эти датчики с нулевым разрешением для сбора конфиденциальной информации, что приводит к серьезным утечкам конфиденциальной информации.
Чен надеется, что эти выводы повысят осведомленность широкой общественности об уязвимостях безопасности AR/VR и побудят производителей разрабатывать более безопасные модели.
«Учитывая наши выводы, производители VR-шлемов должны предусмотреть дополнительные меры безопасности, такие как добавление пластичных материалов в заменяющую пенопластовую крышку и оголовье, которые могут ослабить связанные с речью вибрации лица, которые будут улавливаться встроенным акселерометром/гироскопом. ,” она сказала.
Чен и ее коллеги из WINLAB сейчас изучают, как информация о вибрации лица может аутентифицировать пользователей и повысить безопасность, а также как гарнитуры AR/VR могут фиксировать дыхание и частоту сердечных сокращений пользователя, чтобы ненавязчиво измерять самочувствие и настроение.
[ad_2]
Source