Дополненная и виртуальная реальности продвигаются как массовые компьютерные технологии следующего поколения. Это означает, что они должны стать крайне популярными. На этом фоне специалисты по кибербезопасности задают всё больше вопросов о том, насколько защищены их пользователи. Исследователи Калифорнийского университета в Риверсайде изучили вопрос и изложили свои выводы в двух докладах для ежегодного симпозиума по безопасности Usenix.
Технологии метавселенной, которые продвигают многие ИТ-компании, опираются на очки со способностью интерпретировать даже самые мелкие движения наших рук, ног, головы, глаз и так далее для навигации по интерфейсам и цифровым мирам, общения и иных дел самого разного рода. Группа специалистов в Инженерном колледже Борнса в Калифорнийском университете в Риверсайде под руководством профессоров Джиаси Чена и Наэля Абу-Газале продемонстрировала, что шпионское программное обеспечение может отслеживать и записывать мимику человека, а затем использовать искусственный интеллект для перевода движений в слова с точностью выше 90%. На этом возможности хакеров только начинаются.
По сути, мы показываем, что если вы запускаете несколько приложений, и одно из них является вредоносным, оно может шпионить за другими приложениями, — пишет Абу-Газале. — Оно может следить за окружающей вас средой, например, показывать людей вокруг вас и как далеко они находятся. А также может раскрыть злоумышленнику ваше взаимодействие с очками.
Например, если вы сделаете перерыв в игре, чтобы проверить сообщения, набрав пароль на виртуальной клавиатуре, шпионское ПО может перехватить символы. Точно так же можно интерпретировать движения тела, чтобы понимать действия, речь, эмоции человека во время виртуальной встречи, на которой обсуждается конфиденциальная информация.
Первая статья It’s all in your head(set): Side-channel attacks on AR/VR systems описывает, как хакеры могут восстановить жесты рук жертвы, голосовые команды и нажатия клавиш на виртуальной клавиатуре с точностью более 90%. Далее документ раскрывает, как идентифицировать приложения при их запуске и шпионить за другими людьми вокруг, определяя их положение с точностью до 10 сантиметров.
Во второй статье Going through the motions: AR/VR keylogging from user head motions авторы более подробно рассматривают риски, связанные с виртуальной клавиатурой. Материал рассказывает, что для выводов о набираемых символах достаточно определять мелкие движения головы, которые совершает печатающий на клавиатуре человек. Наконец, исследователи доказали теорию на практике, разработав систему TyPose, которая использует машинное обучение для автоматического распознавания моторики и вывода набираемых слов.
Абу-Газале отмечает, что его команда лишь поднимает вопросы и демонстрируют возможности взлома, предоставляя результаты компаниям до публикации, чтобы те могли оперативно устранять уязвимости.
Не пропускайте важнейшие новости о дополненной и виртуальной реальности — подписывайтесь на Голографику в Telegram, ВК и Twitter! Поддержите проект на Boosty.
