В то время как дополненная реальность (AR) и виртуальная реальность (VR) рассматриваются как следующая итерация Интернета, погружающая нас в новые цифровые миры, связанные с ними аппаратные гарнитуры и интерфейсы виртуальной клавиатуры открывают новые возможности для хакеров.
Таковы выводы ученых из Калифорнийского университета в Риверсайде, подробно изложенные в двух докладах, которые будут представлены на этой неделе на ежегодном симпозиуме по безопасности Usenix в Анахайме, ведущей международной конференции по кибербезопасности.
Появляющаяся технология метавселенной, которую в настоящее время интенсивно разрабатывает Марк Цукерберг из Facebook и другие технические гиганты, опирается на гарнитуры, которые интерпретируют движения нашего тела — протягивание рук, кивки, шаги и моргание, — чтобы перемещаться по новым мирам дополненной и виртуальной реальности, чтобы играть в игры. , общаться, встречаться с коллегами и, возможно, делать покупки или заниматься другими видами бизнеса.
Команда специалистов по информатике из Инженерного колледжа UCR в Борнсе под руководством профессоров Джиаси Чена и Наэля Абу-Газале продемонстрировала, что шпионское ПО может отслеживать и записывать каждое наше движение, а затем использовать искусственный интеллект для перевода этих движений в слова с точностью до 90 секунд. % или более высокая точность.
«По сути, мы показываем, что если вы запускаете несколько приложений, и одно из них является вредоносным, оно может шпионить за другими приложениями», — сказал Абу-Газале. «Он может следить за окружающей вас средой, например, показывать людей вокруг вас и как далеко они находятся. А также может раскрыть злоумышленнику ваше взаимодействие с гарнитурой».
Например, если вы сделаете перерыв в виртуальной игре, чтобы проверить свои сообщения в Facebook, набрав пароль на виртуальной клавиатуре, созданной гарнитурой, шпионское ПО может перехватить ваш пароль. Точно так же шпионы потенциально могут интерпретировать движения вашего тела, чтобы получить доступ к вашим действиям во время виртуальной встречи, на которой раскрывается и обсуждается конфиденциальная информация.
Два документа, которые будут представлены на конференции по кибербезопасности, написаны Абу-Газале и Ченом Тотером в соавторстве с Ичэном Чжаном, докторантом UCR по информатике, и Картером Слокамом, приглашенным доцентом колледжа Харви Мадда, получившим докторскую степень. в УКР.
Первая статья называется «Все в вашей голове (набор): Атаки по сторонним каналам на системы AR/VR». Чжан в качестве ведущего автора подробно описывает, как хакеры могут восстановить жесты рук жертвы, голосовые команды и нажатия клавиш на виртуальной клавиатуре с точностью более 90%. Далее в документе показано, как шпионы могут идентифицировать приложения по мере их запуска и воспринимать других людей, стоящих рядом с пользователем гарнитуры, с точностью до 4 дюймов (10,3 см).
Во втором документе, «Прохождение движений: регистрация клавиатуры AR/VR по движениям головы пользователя», более подробно рассматривается риск безопасности, связанный с использованием виртуальной клавиатуры. Со Слокумом в качестве ведущего автора он показывает, как тонкие движения головы, совершаемые пользователями, печатающими на виртуальной клавиатуре, достаточны для шпионов, чтобы сделать вывод о набираемом тексте. Затем исследователи разработали систему, получившую название TyPose, которая использует машинное обучение для извлечения этих сигналов движения головы для автоматического вывода слов или символов, которые набирает пользователь.
Ожидается, что оба документа проинформируют технологическую отрасль о недостатках их кибербезопасности.
«Мы демонстрируем осуществимость атак, а затем ответственно раскрываем информацию», – сказал Абу-Газале. «Мы говорим компаниям, что, эй, это то, что мы смогли сделать. А затем мы даем им время посмотреть, хотят ли они исправить это, прежде чем мы опубликуем наши выводы».
