Реальность другая, угрозы те же: как безопасно использовать VR-шлемы и очки

[BOOX]

Распространившаяся относительно недавно технология виртуальной реальности стремительно развивается и набирает популярность.


Компании-производители активно развиваются и экспериментируют с новой технологией. Виртуальная реальность используется не только в развлекательной индустрии, но и в науке, образовательной сфере, медицине, архитектуре и других. Для злоумышленников доступ к таким данным может стать привлекательной целью.

На данный момент случаи взломов VR-шлемов и очков не являются широко распространенными, однако с развитием технологий виртуальной реальности и увеличением их популярности можно ожидать, что такие атаки станут более актуальными для злоумышленников. Примерами кейсов могут быть уязвимости в ПО VR-устройств, которые могут быть использованы для удаленного контроля или для сбора конфиденциальной информации. В будущем, с увеличением количества пользователей VR-технологий, вероятность взломов таких устройств может увеличиться.

Несмотря на то, что атаки на VR-шлемы и VR-наборы не широко распространены, уже сейчас необходимо подумать об информационной безопасности устройств.

Технология VR​

Virtual reality — технология, позволяющая при помощи технических средств погрузить пользователя в трехмерный виртуальный мир. Человек может просто наблюдать при помощи очков другую реальность — смотреть видео в формате 360 градусов, или взаимодействовать с ней — играть, используя контроллеры.

VR-шлемы могут подключаться к телефону, компьютеру, игровой приставке или быть автономными.

Компьютерные VR-шлемы, такие, как Oculus Rift или HTC Vive, обычно имеют более жесткие меры безопасности, так как они подключаются к компьютеру и могут быть лучше защищены от внешних атак. Мобильные VR-очки, такие, как Samsung Gear VR, могут быть уязвимыми для вредоносного ПО из-за связи с мобильным устройством. Автономные VR-шлемы, например, Oculus Quest, могут быть подвержены рискам как от внешних атак, так и от внутренних угроз, поскольку они работают самостоятельно без постоянного подключения к внешнему устройству.

В полноценный VR-набор входят шлем, контроллеры и камеры. Благодаря шлему создается ощущение, что игрок находится в другой реальности — он видит ее и слышит. Датчики движения и акселерометры дают дополнительные возможности полностью погрузиться в игру. С помощью контроллеров можно производить действия и управлять своими движениями в игре, а камеры дополнительно собирают информацию — считывают движения игрока и предупреждают, если тот приближается к установленным границам в реальной жизни, например, к стене или мебели.

Также важно выделить возможности работы устройств в режиме дополненной реальности, когда человек одновременно видит и старый добрый «аналоговый» мир и виртуальные интерфейсы, с которыми также может взаимодействовать.

Риски и угрозы информационной безопасности при использовании VR​

Злоумышленники могут быть заинтересованы в конфиденциальных данных пользователя. Найдя уязвимости в VR-приложении и взломав его, они смогут получить доступ к камерам и микрофону.

Взлом VR-шлемов является серьезным нарушением частной жизни и безопасности пользователей. Хакеры могут использовать уязвимости в программном обеспечении или аппаратной части устройств, чтобы получить доступ к личным данным пользователей, включая информацию о местоположении, физиологические параметры и даже видео- и аудиозаписи сессий виртуальной реальности.

Это может привести к различным негативным последствиям, включая кражу личной информации, шантаж, нарушение конфиденциальности и даже физическую опасность.

Злоумышленники также могут внедрить VR-эксплойты, чтобы получить контроль над устройствами игроков. В этом случае они имеют доступ к ПК, могут включать микрофон, чтобы подслушивать, следить за действиями пользователя, собирать различную информацию, в том числе о банковских транзакциях, логинах и паролях.

Проблема заключается в уязвимостях ПО. Чаще всего злоумышленники ищут простые способы атаки: фишинговые ссылки, вредоносные программы и вирусы. Такой способ может получить частичный или полный контроль над компьютером, после, злоумышленники получают доступ не только к социальной активности жертвы, но и меняют содержание отправленных им сообщений и даже контролируют его транзакции.

Если зловредное ПО самовоспроизводится, то оно может заразить всех посетителей виртуальной комнаты. Это позволяет собирать данные сразу о многих людях, следить за их действиями, шифровать файлы на их ПК, а затем шантажировать и требовать выкуп за восстановление доступа.

При использовании VR-шлема или набора в бизнесе взлом будет иметь более серьезные последствия. Компьютер, подключенный к VR-устройству, станет для злоумышленника входной дверью в корпоративную сеть.

Защита данных и обеспечение безопасности виртуальной реальности​

Для того, чтобы защитить устройства от взлома, необходимо понимать степень угрозы и ответственно отнестись к вопросу безопасности.

Вот несколько рекомендаций по защите. Следует регулярно обновлять программное обеспечение VR-шлема, чтобы устранять обнаруженные уязвимости и обеспечивать защиту от новых видов киберугроз. Подключаться стоит только к защищенным Wi-Fi-сетям с шифрованием данных (например, WPA2). Также нужно избегать открытых и ненадежных сетей, чтобы предотвратить перехват личной информации.

Важно защитить доступ к VR-шлему паролем или другими методами аутентификации, чтобы предотвратить несанкционированный доступ к устройству. Приложения для VR-шлема следует загружать только из официальных магазинов, чтобы избежать установки вредоносного программного обеспечения. Наконец, если возможно, требуется настроить права доступа к данным и функциям устройства так, чтобы ограничить доступ сторонних приложений к личной информации. Соблюдение этих мер позволит уменьшить риск киберугроз и обеспечить безопасное использование VR-шлемов в сети.

Важно не пренебрегать обновлением ПО своих устройств, ведь злоумышленники постоянно ищут новые способы получить доступ к чужим устройствам. А компании, в свою очередь — оперативно исправлять уязвимости в своих продуктах. Так, например, компания Apple

Для просмотра ссылки необходимо нажать Вход или Регистрация

первый патч безопасности, исправляющий уязвимость нулевого дня для Apple Vision Pro, на следующий день после публикации обзоров журналистов.

Заключение​

Использование виртуальной и дополненной реальности быстро развивается. В разных сферах ей находят все новые способы применения. Существует не так много кейсов, связанных со взломом VR-шлемов и VR-наборов. Однако, специалисты прогнозируют рост атак злоумышленников в будущем пропорционально распространению VR-технологий.

Пока подобные кейсы прорабатываются в лабораторных и исследовательских условиях и не столь распространены, однако наш опыт показывает, что киберпреступники постоянно ищут новые способы проникновения в системы и устройства, и получения личных данных. В текущих реалиях VR-индустрия от этого также не застрахована, поэтому новые кейсы будут появляться. Важно, как отреагируют разработчики самих устройств и ПО. Возможно в будущем можно ожидать появления специализированных СЗИ для VR-устройств.

С помощью уязвимостей в VR-устройствах, злоумышленники могут собирать конфиденциальные данные, записывать аудио с микрофона, видео с камер, а также получить контроль над ПК и доступ в корпоративную систему. Чтобы этого избежать, необходимо соблюдать меры предосторожности: вовремя обновлять ПО, не сообщать никому данные для доступа, подключаться только через надежные Wi-Fi сети и устанавливать VR-приложения только из официальных магазинов.

Для просмотра ссылки необходимо нажать Вход или Регистрация