Исследователи из Университета Рутгерса в Нью-Брансуике опубликовали «Face-Mic», первую работу, в которой исследуется, как функции голосовых команд на гарнитурах виртуальной реальности могут привести к серьезным утечкам конфиденциальной информации, известным как «атаки подслушивания».

Исследование показывает, что хакеры могут использовать популярные гарнитуры виртуальной реальности (AR/VR) со встроенными датчиками движения для записи малозаметной динамики лица, связанной с речью, для кражи конфиденциальной информации, передаваемой с помощью голосовых команд, включая данные кредитных карт и пароли.

Распространенные на рынке системы AR/VR включают популярные бренды Oculus Quest 2, HTC Vive Pro и PlayStation VR.

Чтобы продемонстрировать наличие уязвимостей в системе безопасности, исследователи WINLAB разработали атаку с прослушиванием, нацеленную на гарнитуры AR/VR, известную как «Face-Mic».

«Face-Mic — это первая работа, которая выводит личную и конфиденциальную информацию, используя динамику лица, связанную с живой человеческой речью, при использовании устройств AR/VR, устанавливаемых на лицо», — говорит Дженнифер Чен, руководитель группы исследователей. «Наше исследование показывает, что Face-Mic может получать конфиденциальную информацию о владельце гарнитуры с помощью четырех основных гарнитур AR/VR, включая самые популярные: Oculus Quest и HTC Vive Pro».

https://s3.eu-central-1.amazonaws.com/media.my.ua/feed/434/90975418d2770b1a00c73d2ceb3974b5.jpg

Исследователи изучили три типа вибраций, улавливаемых датчиками движения гарнитур AR/VR, включая движения лица, связанные с речью, вибрации костей и воздушные вибрации. Чен отмечает, что вибрации костей, в частности, сильно закодированы подробной информацией о поле, личности и речи.

«Проанализировав динамику лица, захваченную датчиками движения, мы обнаружили, что как картонные гарнитуры, так и гарнитуры высокого класса подвержены уязвимостям безопасности, раскрывая конфиденциальную речь пользователя и информацию о говорящем без его согласия», — говорит эксперт.

Хотя поставщики обычно имеют политику использования функции голосового доступа в микрофонах гарнитуры, исследование Чен показало, что встроенные датчики движения, такие как акселерометр и гироскоп в гарнитуре виртуальной реальности, не требуют никакого разрешения для доступа. Эта уязвимость в системе безопасности может быть использована злоумышленниками, намеревающимися совершить атаки с прослушиванием.

Подслушивающие злоумышленники также могут извлекать простой речевой контент, включая цифры и слова, для получения конфиденциальной информации, такой как номера кредитных карт, номера социального страхования, номера телефонов, PIN-коды, транзакции, даты рождения и пароли. Разглашение такой информации может привести к краже личных данных, мошенничеству с кредитными картами и утечке конфиденциальной и медицинской информации.

Чен говорит, что как только пользователь был идентифицирован хакером, атака с прослушиванием может привести к дальнейшему раскрытию конфиденциальной информации и образа жизни пользователя, такой как история путешествий AR/VR, предпочтений в играх/видео и в отношении покупок. Такое отслеживание ставит под угрозу конфиденциальность пользователей и может быть прибыльным для рекламных компаний.

Oculus Quest, например, поддерживает голосовую диктовку для ввода веб-адресов, управления гарнитурой и изучения коммерческих продуктов. Исследование Rutgers Face-Mic показывает, что хакеры могут использовать эти датчики с нулевым разрешением для сбора конфиденциальной информации, что приводит к серьезным утечкам конфиденциальных данных пользователей.

Чен надеется, что эти выводы повысят осведомленность широкой общественности об уязвимостях безопасности AR/VR и побудят производителей разрабатывать более безопасные модели.

«Учитывая наши выводы, производители VR-шлемов должны предусмотреть дополнительные меры безопасности, такие как добавление пластичных материалов в заменяющую пенопластовую крышку и оголовье, ослабляющие связанные с речью вибрации лица, которые будут улавливаться встроенным акселерометром/гироскопом» — сказала эксперт.

Чен и ее коллеги из WINLAB сейчас изучают, как информация о вибрации лица может аутентифицировать пользователей и повысить безопасность, а также как гарнитуры AR/VR могут фиксировать дыхание и частоту сердечных сокращений пользователя, чтобы ненавязчиво измерять самочувствие и настроение.

По материалам: Techxplore