چالش های امنیتی واقعیت مجازی (VR) و واقعیت افزوده (AR) – چگونه واقعیت مجازی (Virtual Reality) و (Augmented Reality) امنیت و حریم شخصی را به خطر می اندازد؟

0 39
۵/۵ - (۴ امتیاز)

فهرست

واقعیت افزوده (Augmented Reality)

واقعیت افزوده (AR) و واقعیت مجازی (VR) ارتباط تنگاتنگی با یکدیگر دارند اما یکسان نیستند. واقعیت افزوده یا همان Augmented Reality با افزودن عناصر دیجیتال – دیداری، شنیداری یا حسی – به یک نمای دنیای واقعی، دنیای واقعی را تقویت یا “Augment” می کند. اگر بخواهیم یک مثال برای درک سریع AR بزنیم، می توانیم به برخی بازی ها در این زمینه اشاره کنیم. یکی از معروف ترین نمونه های AR در سال های اخیر، بازی محبوب پوکمون – Pokémon Go بود:

واقعیت افزوده در بازی Pokemon Go

همانطور که در تصویر بالا مشاهده می کنید، یک کاراکتر غیرواقعی و مجازی به دنیای واقعی اضافه شده است و از طریق تلفن همراه کاربر قابل مشاهده است.

واقعیت مجازی (Virtual Reality)

در مقابل، واقعیت مجازی (VR) به جای افزودن به دنیای موجود، محیط مجازی خود را ایجاد می کند. واقعیت مجازی معمولاً از طریق یک رابط، مانند هدست یا عینک، به جای تماشای محتوا روی صفحه نمایش، تجربه می شود. یعنی برای مشاهده دنیای VR معمولا از یک دستگاه بخصوص استفاده می شود:

Virtual reality - Wikipedia
واقعیت مجازی (Virtual Reality)

در تصویر بالا مشاهده می کنید که کاربر بوسیله تجهیزات مخصوص در حال انجام یک بازی واقعیت مجازی (VR) است.

واقعیت ترکیبی (Mixed Reality)

واقعیت ترکیبی (MR) شبیه واقعیت افزوده است، اما کمی فراتر از آن است. واقعیت ترکیبی محتوای دیجیتالی سه بعدی را که متناسب با محیط هستند را انتشار می دهد. با MR، کاربران می توانند با اقلام و محیط های فیزیکی و مجازی تعامل داشته باشند و آن ها را دستکاری کنند. در تصویر (کانسپت) زیر یک پزشک را مشاهده می کنید که در حال انجام عملیات برروی یک سری شی مجازی است:

Mixed Reality, Augmented Reality, Microsoft HoloLens | BE-terna
واقعیت ترکیبی (Mixed Reality)

چالش های امنیتی واقعیت افزوده (AR)

تمامی تکنولوژی هایی که به طور مختصر آن ها را معرفی کردیم، تحولی بزرگ به حساب می آیند. هر یک از این موارد می توانند در دنیای امروز کمک بسیار بزرگی به ما در انجام کارها بکنند. اما این تکنولوژی های جدید (البته نه خیلی جدید!) می بایست از نظر امنیتی مورد بررسی قرار بگیرند و ابعاد مختلف آن ها بررسی شوند. همانطور که بسیاری از تکنولوژی های نوظهور در ابتدای ورود خود به دنیای واقعی باعث نقض شدن حریم شخصی افراد شدند، این تکنولوژی ها نیز می بایست از این نظر تحت کنترل باشند.

یکی از بزرگترین خطرات واقعیت افزوده مربوط به حریم خصوصی است. به هنگام استفاده کاربران از AR حریم شخصی آن ها ممکن است در معرض خطر باشد. چرا که تمام فعالیت هایی که او در حال انجام است، کجا حضور دارد، چه اشیا اطراف او هستند و … در حال مشاهده هستند. بنابراین اگر یک نفر توانایی دسترسی به دستگاه شما را داشته باشد، احتمالا می تواند به تمام این محتوا نیز دسترسی پیدا کند.

ریسک های فضای واقعیت افزوده

توجه داشته باشید، اگر حساب کاربری اینستاگرام شما هک شود، تنها پیام های خصوصی و یک سری عکس خصوصی شما لو می رود. اما اگر یک مهاجم به فضای AR شما دسترسی پیدا کند بیش از اینها به زندگی شما نفوذ کرده است. بنابراین چالش های زیر مطرح می شوند:

  • اگر هکرها به یک دستگاه دسترسی پیدا کنند، حریم خصوصی افراد تا حد بسیار زیادی از بین می رود.
  • شرکت‌های AR چگونه از اطلاعاتی که از کاربران جمع‌آوری کرده‌اند استفاده می‌کنند و از آنها محافظت می‌کنند؟
  • شرکت ها داده های واقعیت افزوده را در کجا ذخیره می کنند – به صورت محلی روی دستگاه یا در فضای ابری؟ اگر اطلاعات به ابر ارسال شود، آیا رمزگذاری شده است؟
  • آیا شرکت های AR این داده ها را با اشخاص ثالث به اشتراک می گذارند؟ اگر چنین است، چگونه از آن استفاده می کنند؟

محتوای غیر قابل اعتماد

مرورگرهای AR فرآیند افزایش (Augmentation) را تسهیل می‌کنند، اما محتوا توسط بیزینس ها و برنامه‌های شخص ثالث ایجاد و ارائه می‌شود. این مساله عدم اطمینان را بوجود می آورد، زیرا AR یک دامنه نسبتاً جدید است و مکانیسم های تولید و انتقال محتوای تأیید شده هنوز در حال تکامل هستند. هکرهای پیشرفته می توانند AR کاربر را جایگزین فضای AR متعلق به خودشان کنند و افراد را گمراه کنند یا اطلاعات نادرست ارائه دهند. تهدیدهای سایبری مختلف می توانند محتوا را غیرقابل اعتماد کنند حتی اگر منبع معتبر باشد. جعل و شنود از جمله این موارد است.

مهندسی اجتماعی

با توجه به غیرقابل اعتماد بودن محتوا، سیستم های واقعیت افزوده می توانند ابزاری موثر برای فریب کاربران به عنوان بخشی از حملات مهندسی اجتماعی باشند. به عنوان مثال، هکرها می توانند درک کاربران از واقعیت را از طریق علائم یا نمایشگرهای جعلی تحریف کنند تا آنها را به انجام اقداماتی سوق دهند که به نفع هکرها باشد.

بدافزارها

هکرهای AR می توانند محتوای مخرب را از طریق تبلیغات در برنامه ها جاسازی کنند. کاربران ناآگاه ممکن است روی تبلیغاتی کلیک کنند که به وب‌سایت‌های گروگان یا سرورهای AR آلوده به بدافزار منتهی می‌شوند و تصاویر غیرقابل اعتمادی را در خود جای می‌دهند – که امنیت AR را تضعیف می‌کند.

سرقت اعتبارنامه ها

مجرمان ممکن است اعتبارنامه های (Credential) شبکه را از دستگاه های پوشیدنی (هدست و کنترلر و …) دارای Android بدزدند. برای فروشندگانی که از اپلیکیشن های خرید واقعیت افزوده و واقعیت مجازی استفاده می کنند، هک می تواند یک تهدید سایبری باشد. بسیاری از مشتریان از قبل جزئیات کارت بانکی خود را در پروفایل کاربری خود ثبت کرده اند. هکرها ممکن است به این موارد دسترسی پیدا کنند و حساب‌ها را تخلیه کنند، زیرا پرداخت از طریق تلفن همراه روشی مرسوم است.

نقض سرویس – DoS

یکی دیگر از حملات امنیتی AR بالقوه انکار سرویس (Denial of Service) است. یک مثال ممکن است شامل این باشد که کاربرانی که برای کار به AR متکی هستند، ناگهان از جریان اطلاعاتی که دریافت می‌کنند قطع می‌شوند. این امر به ویژه برای متخصصانی که از این فناوری برای انجام وظایف در شرایط بحرانی استفاده می کنند نگران کننده است، جایی که عدم دسترسی به اطلاعات می تواند عواقب جدی داشته باشد. یک مثال ممکن است جراح باشد که به طور ناگهانی دسترسی به اطلاعات حیاتی و حیاتی عینک AR خود را از دست می دهد، یا راننده ای که به طور ناگهانی دید جاده را از دست می دهد زیرا شیشه جلوی AR آنها به یک صفحه سیاه تبدیل می شود.

حملات مردمیانی

مهاجمان شبکه می توانند به ارتباطات بین مرورگر AR و ارائه دهنده AR، صاحبان کانال AR و سرورهای شخص ثالث گوش دهند. این می تواند منجر به حملات مرد میانی شود. در این حملات مهاجم با قرار گرفتن بین دو طرف ارتباط، محتوای رد و بدل شده را شنود می کند. این شنود می تواند منجر به لو رفتن اطلاعات رد و بدل شده بشود.

باج افزار

هکرها ممکن است به دستگاه واقعیت افزوده کاربر دسترسی پیدا کنند و رفتار و تعاملات آنها را در محیط AR ثبت کنند. بعداً آنها ممکن است تهدید کنند که این ضبط‌ها را به صورت عمومی منتشر می‌کنند مگر اینکه کاربر باج بدهد. این می‌تواند برای افرادی که نمی‌خواهند بازی‌ها و سایر تعاملات AR خود را به صورت عمومی ببینند، شرم‌آور یا ناراحت‌کننده باشد.

آسیب های فیزیکی!

یکی از مهم‌ترین آسیب‌پذیری‌های امنیتی AR برای دستگاه‌های پوشیدنی AR آسیب فیزیکی است. برخی از پوشیدنی ها دوام بیشتری نسبت به بقیه دارند، اما همه دستگاه ها آسیب پذیری فیزیکی دارند. کارکرد و ایمن نگه داشتن آنها – برای مثال، نگذارید کسی که با هدستی که به راحتی گم یا دزدیده می شود راه برود – یک جنبه ضروری ایمنی است.

خطرات و چالش های امنیتی واقعیت مجازی (VR)

تهدیدات امنیتی VR کمی با واقعیت افزوده متفاوت است زیرا واقعیت مجازی به محیط های بسته محدود می شود و تعامل با دنیای فیزیکی واقعی را شامل نمی شود. صرف نظر از این، هدست‌های واقعیت مجازی تمام دید کاربر را پوشش می‌دهند که در صورت تسلط هکرها می‌تواند خطرناک باشد. به عنوان مثال، آنها می توانند محتوا را به گونه ای دستکاری کنند که باعث سرگیجه یا حالت تهوع در کاربر شود!

همانند واقعیت افزوده، حفظ حریم خصوصی یکی از دغدغه های اصلی واقعیت مجازی است. یکی از مسائل کلیدی حریم خصوصی واقعیت مجازی، ماهیت بسیار شخصی داده‌های جمع‌آوری‌شده است – به عنوان مثال، داده‌های بیومتریک مانند اسکن عنبیه یا شبکیه چشم، اثر انگشت و اثر دست، هندسه صورت، و اثر صوتی. مثالها عبارتند از:

  • ردیابی انگشت: در دنیای مجازی، کاربر ممکن است از حرکات دست به همان روشی که در دنیای واقعی استفاده می‌کند استفاده کند – برای مثال، با استفاده از انگشتان دست برای تایپ کد روی صفحه‌کلید مجازی. با این حال، انجام این کار به این معنی است که سیستم داده‌های ردیابی انگشت را که نشان می‌دهد انگشتان یک پین را تایپ می‌کنند، ثبت و ارسال می‌کند. اگر مهاجم بتواند آن داده ها را بگیرد، می تواند پین کاربر را دوباره ایجاد کند.
  • ردیابی چشم: برخی از هدست‌های واقعیت مجازی و واقعیت افزوده ممکن است شامل ردیابی چشم نیز باشند. این داده ها می تواند ارزش بیشتری برای عوامل مخرب ایجاد کند. دانستن دقیق اینکه کاربر به چه چیزی نگاه می کند، می تواند اطلاعات ارزشمندی را برای مهاجم آشکار کند – که آنها می توانند برای بازآفرینی اقدامات کاربر، آنها را ضبط کنند.

تقریباً غیرممکن است که داده های ردیابی VR و AR را ناشناس کنید زیرا افراد الگوهای حرکتی منحصر به فردی دارند. محققان با استفاده از اطلاعات رفتاری و بیولوژیکی جمع‌آوری‌شده در هدست‌های واقعیت مجازی، کاربران را با دقت بسیار بالایی شناسایی کرده‌اند که در صورت هک شدن سیستم‌های واقعیت مجازی، مشکلی واقعی ایجاد می‌کند.

درست مانند کدهای پستی، آدرس‌های IP و چاپ‌های صوتی، داده‌های ردیابی واقعیت مجازی و واقعیت افزوده باید «اطلاعات شناسایی شخصی» بالقوه در نظر گرفته شوند. می توان آن را به عنوان PII در نظر گرفت زیرا طرف های دیگر می توانند از آن برای تشخیص یا ردیابی هویت یک فرد استفاده کنند، چه به تنهایی یا زمانی که با اطلاعات شخصی یا هویتی دیگر ترکیب شود. این امر حفظ حریم خصوصی VR را به یک نگرانی مهم تبدیل می کند.

باج افزارها

مهاجمان همچنین ممکن است ویژگی هایی را به پلتفرم های VR تزریق کنند که برای گمراه کردن کاربران در ارائه اطلاعات شخصی طراحی شده اند. همانند واقعیت افزوده، این زمینه برای حملات باج‌افزار ایجاد می‌کند، جایی که عوامل مخرب قبل از درخواست باج، پلتفرم‌ها را خراب می‌کنند.

هویت های جعلی

فن‌آوری‌های یادگیری ماشینی امکان دستکاری صداها و ویدیوها را تا جایی که هنوز شبیه فیلم واقعی به نظر می‌رسند، می‌دهند. اگر یک هکر بتواند به داده های ردیابی حرکت از یک هدست VR دسترسی داشته باشد، می تواند به طور بالقوه از آن برای ایجاد یک کپی دیجیتال (که گاهی اوقات به عنوان دیپ فیک شناخته می شود) استفاده کند و در نتیجه امنیت VR را تضعیف کند. سپس آنها می توانند این را روی تجربه VR شخص دیگری قرار دهند تا یک حمله مهندسی اجتماعی را انجام دهند. نتیجه چنین چیزی سرقت هویت افراد یا بوجود آمدن هویت های جعلی است.

جدا از امنیت سایبری، یکی از بزرگترین خطرات واقعیت مجازی این است که به طور کامل ارتباط بینایی و شنیداری کاربر را با دنیای خارج مسدود می کند. همیشه مهم است که ابتدا ایمنی فیزیکی و امنیت محیط کاربر را ارزیابی کنید. این همچنین در مورد AR نیز صدق می کند، جایی که کاربران باید آگاهی خوبی از محیط اطراف خود داشته باشند، به ویژه در محیط های فراگیرتر.

درباره ما

ترجنس | thregence.ir
آکادمی ترجنس | edu.thregence.ir
دوره‌های آکادمی ترجنس | courses.thregence.ir
اینستاگرام | instagram.com/thregence
تلگرام | t.me/thregence
یوتوب | https://bit.ly/30mGowo
آپارات | aparat.com/thregence

ارسال یک پاسخ