Hva er sikkerhets- og personvernriskene rundt VR og AR

Hva er utvidet virkelighet (AR) og virtuell virkelighet (VR)?

Utvidet virkelighet (AR) og virtuell virkelighet (VR) er nært beslektet, men ikke det samme. Utvidet virkelighet forbedrer eller "utvider" virkeligheten ved å legge til digitale elementer – visuelle, lydmessige eller sansemessige – slik at de ser ut som virkelighet. Et nylig kjent eksempel på AR var det populære spillet Pokémon Go.

Som kontrast skaper virtuell virkelighet et eget datamiljø heller enn å legge til den virkelige verden. Virtuell virkelighet oppleves vanligvis gjennom et grensesnitt, f.eks. hodesett eller briller, istedenfor å se innholdet på en skjerm.

Blandet virkelighet (MR) ligner på AR, men går videre ved å projisere digitalt 3D-innhold som tilpasser seg rommet og responderer. Med MR kan brukere samhandle med og manipulere fysiske og virtuelle elementer og miljøer – f.eks. kan en virtuell ball sprette av et virkelig bord eller vegg.

Fellesbegrepet for VR, AR og MR er XR-virkelighet. Det globale markedet for XR-maskinvare, –programvare og -tjenester vokser hvert år. Men den raske veksten til denne teknologien har også fått brukere til å lure på hvilke problemer den skaper for sikkerhet og personvern.

Sikkerhets- og personvernproblemer for utvidet virkelighet

AR-bekymringer

En av de største antatte farene med utvidet virkelighet gjelder personvern. En brukers personvern står i fare fordi AR-teknologi ser hva brukeren gjør. AR innhenter informasjon om hva brukeren er og hva de gjør i mye større grad enn f.eks. sosiale medier eller andre typer teknologi. Dette skaper bekymringer og spørsmål:

• Hvis hackere får adgang til en enhet, er personvernet i stor fare.
• Hvordan bruker og sikrer AR-selskaper informasjonen de har innhentet fra brukere?
• Hvor lagrer selskaper data om utvidet virkelighet –lokalt på enheten eller i skyen? Er informasjonen kryptert om den sendes til en sky?
• Deler AR-selskaper disse dataene med tredjeparter? I så fall, hvordan bruker de den?

Upålitelig innhold

AR-nettlesere legger til rette for utvidelsesprosessen, men innholdet skapes og leveres av forhandlere og applikasjoner fra tredjeparter. Dette skaper spørsmål om upålitelighet, siden AR er et relativt nytt område, og bekreftet innholdsgenerering og overføringsmekanismer fortsatt utvikles. Sofistikerte hackere kan erstatte en brukers AR med en av sine egne, noe som villeder folk eller gir falsk informasjon.

Ulike datatrusler kan gjøre innholdet upålitelig, selv om kilden er autentisk. Dette omfatter spoofing, sniffing og datamanipulering.

Sosial manipulering

Siden innholdet kan være upålitelig, kan systemer med utvidet virkelighet være et effektivt verktøy for å lure brukere som del av angrep med sosial manipulering. For eksempel kan hackere forvrenge brukernes virkelighetsoppfatning med falske tegn eller displayer og få dem til å gjøre ting som hackerne har fordel av.

Skadeprogramvare

AR-hackere kan legge skadelig innhold inn i applikasjoner via reklame. Uvitende brukere kan klikke på annonser som fører til nettsider som holdes som gissel eller AR-servere som er infisert av skadeprogramvare og som inneholder upålitelige visuelle effekter, noe som skader AR-sikkerheten.

Tyveri av nettverksakkreditiver

Kriminelle kan stjele nettverksakkreditiver fra bærbare Android-enheter. For forhandlere som brukere utvidet virkelighet og handleapper med virtuell virkelighet, kan hacking være en datatrussel. Mange kunder har kortinfoen og mobilbetalingsløsningene registrert i brukerprofilene. Hackere kan få tilgang til disse og tømme dem i stillhet siden mobilbetaling er en sømløs prosedyre.

Tjenestenekt

Et annet potensielt AR-sikkerhetsangrep er tjenestenekt. Et eksempel kan være at brukere som baserer seg på AR i jobben, plutselig utestenges fra informasjonsstrømmen de mottar. Det vil være spesielt bekymringsfullt for fagfolk som bruker teknologien til å utføre oppgaver i kritiske situasjoner der det å utestenges fra informasjon kan ha alvorlige konsekvenser. For eksempel en kirurg som plutselig mister tilgang til viktig informasjon i sanntid på AR-brillene sine eller en sjåfør som ikke kan se veien fordi AR-frontruten blir til en svart skjerm.

Mann-i-midten-angrep

Nettverksangripere kan lytte til kommunikasjon mellom AR-nettleseren og AR-leverandøren, eiere av AR-kanaler og tredjeparters servere. Dette kan føre til mann-i-midten-angrep.

Løsepengevirus

Hackere kan få tilgang til en brukers enhet for utvidet virkelighet og registrere personens oppførsel og samhandlinger i AR-miljøet. De kan senere true med å offentliggjøre disse registrene hvis ikke brukeren betaler løsepenger. Dette kan være pinlig eller plagsomt for personer som ikke vil at deres aktiviteter på spill og annen AR offentliggjøres.

Fysisk skade

Et av de viktigste svakte punktene til bærbare AR-enheter er fysisk skade. Noen bærbare enheter er mer holdbare enn andre, men alle enheter har fysiske svake punkter. Det å holde dem i sikker funksjon – for eksempel ved å ikke la noen gå vekk med hodesett som lett kan mistes eller stjeles – er et viktig sikkerhetsaspekt.

Farer og sikkerhetsproblemer rundt virtuell virkelighet

Sikkerhetstrusler mot VR er litt annerledes enn AR, siden VR er begrenset til lukkede miljøer og ikke medfører samhandling med den fysiske verden. Uansett dekker VR-hodesett hele brukerens øyne, noe som kan være farlig hvis hackere tar over enheten. De kan for eksempel manipulere innhold slik at brukeren blir svimmel eller kvalm.

VR-bekymringer

Som med AR er personvern en viktig bekymring rundt VR. Et viktig personvernproblem for VR er de svært personlige innhentede dataene dvs. biometriske data som iris eller retinaskanninger, fingeravtrykk og håndavtrykk, ansiktsgeometri og stemmeavtrykk. Noen eksempler:

• Fingersporing: I den virtuelle verden kan en bruker foreta håndgester som i virkeligheten – for eksempel ved å taste koden på et virtuelt tastatur med fingrene. Men dette betyr at systemer registrerer og sender fingersporingsdata som viser fingre som taster en PIN-kode. Hvis en angriper kan registrere de dataene, kan de gjenskape en brukers PIN-kode.
• Øyesporing: Noen VR- og AR-hodesett kan også ha øyesporing. Disse dataene kan også være verdifulle for ondsinnede aktører. Det å vite nøyaktig hva en bruker ser på, kan vise verdifull informasjon for en angriper – som de kan registrere for å gjenskape brukerhandlinger.

Det er nesten umulig å anonymisere sporingsdata for VR og AR fordi enkeltpersoner har unike bevegelsesmønstre. Ved å bruke informasjon om atferd og biologi innhentet i VR-hodesett har forskere identifisert brukere med stor nøyaktighet – et virkelig problem om VR-systemer hackes.

Akkurat som med postnumre, IP-adresser, og stemmeavtrykk skal sporingsdata i VR og AR anses som mulig"'personlig identifiserbar informasjon" (PII). Den kan anses som PII fordi andre parter kan bruke den til å finne eller spore en persons identitet, enten alene eller sammen med annen personlig eller identifiserende informasjon. Dette gjør personvern for VR til et betydelig problem.

Løsepengevirus

Angripere kan også legge funksjoner inn i VR-plattformer som er utformet for å få brukere til å avsløre personinformasjon. Som med AR skaper dette muligheter for løsepengevirus-angrep, der ondsinnede aktører saboterer plattformer før de ber om løsepenger.

Falske identiteter eller "dypforfalskninger". (deepfakes)

Maskinlæringsteknologi gjør det mulig å manipulere stemmer og videoer slik at de ser ut som ekte opptak. Hvis en hacker kan gå inn på data med bevegelsessporing fra et VR-hodesett, kan de bruke det til å skape digitale kopier (også kjent som dypforfalskninger) og derfor underminere VR-sikkerhet. De kan så superponere dette på en annens VR-opplevelse for å utføre et angrep med sosial manipulering.

Bortsett fra datasikkerhet er en av de største farene ved virtuell virkelighet at den fullstendig blokkerer brukerens bilde- og lydforbindelse med verden utenfor. Det er alltid viktig å evaluere brukerens fysiske sikkerhet eller omgivelser først. Dette gjelder også for AR, der brukere må være svært oppmerksomme på omgivelsene sine, særlig i mer totalomliggende miljøer.

Andre problemer med VR kan være:

• Mulighet for avhengighet.
• Helseproblemer, f.eks. svimmelhet, kvalme eller fortumlethet (etter langvarig bruk av VR).
• Tap av menneskelig kontakt.

Eksempler på AR og VR

Bruk av utvidet virkelighet, virtuell virkelighet og blandet virkelighet er variert og øker. De omfatter:

• Spill – fra førstepersons skytespill til strategispill og rollespilleventyr. Det mest berømte AR-spillet er antakelig Pokémon Go.
• Profesjonell sport– for treningsprogrammer som hjelper både profesjonelle idrettsutøvere og amatører.
• Virtuelle reiser – f.eks. virtuelle reiser til attraksjoner som dyrehager, safariparker, kunstmuseer osv. – uten å dra hjemmefra.
• Helsetjenester – for at helsepersonell kan øve, for eksempel med kirurgiske simulering.
• Film og TV – for å skape utvidede opplevelser i filmer og serier.

Teknologien brukes også på alvorligere områder. For eksempel bruker USAs hær den til å utvide treningsoppdrag for soldater digitalt, mens det kinesiske politiet bruker den til å finne mistenkte.

Personvernbekymringer for Oculus

Oculus er et av de best kjente VR-hodesettene og et av en håndfull selskaper som støtter utvikling av VR-spill i stor skala. Facebook kjøpte selskapet i 2014, og i 2020 kunngjorde det at man måtte logge inn på framtidige VR-hodesett med Facebook-akkreditiver. Denne utviklingen skapte en opphisset diskusjon om personvern for Oculus.

Kritikere var bekymret for at Facebook innhenter, lagrer og bruker data og muligheten for mer målrettet reklame, og at noen blir tvunget til å bruke en tjeneste som de kanskje ellers ikke ville ha valgt. Kunngjøringen førte til en bølge av nettinnlegg fra brukere som var bekymret for personvern og Oculus-sikkerhet og som påstod at de ikke lenger bruker Oculus-hodesett – selv om kommentatorer mente at det ikke ville hindre Oculus i det lange løp.

Tips: Hvordan beskytte seg ved bruk av VR- eller AR-systemer

Ikke avslør informasjon som er for personlig

Ikke avslør informasjon som er for personlig eller ikke må avsløres. Det er én ting å opprette en konto med e-posten din, men ikke oppgi kredittkortinformasjon hvis du ikke skal kjøpe noe.

Vurder personvernregler

Av og til er det lett å hoppe over lange personvernregler eller vilkår og betingelser. Men det er verdt å prøve å finne ut hvordan selskaper bak AR- og VR-plattformer lagrer opplysninger om deg og hva de gjør med dem. Deler de dem for eksempel med tredjeparter? Hva slags data deler og innhenter de?

Bruk en VPN

Én måte å beskytte identitet og data på nett på er en VPN-tjeneste. Må du avsløre sensitiv informasjon, kan bruk av et VPN beskytte deg mot at den informasjonen kompromitteres. En kombinasjon av avansert kryptering og endret IP-adresse holder identiteten og dataene dine hemmelige. Med utvikling i AR og VR vil VPN-modellen sannsynligvis utvides i denne teknologiske virkeligheten.

Hold fastvaren oppdatert

Det er svært viktig å oppdatere fastvaren i VR-hodesett og AR-utstyr. Oppdateringer utbedrer sikkerhetsfeil, legger til nye funksjoner og forbedrer eksisterende.

Bruk effektiv antivirus-programvare

Generelt beskytter man seg best på nett med en proaktiv datasikkerhetsløsning. F.eks. Kaspersky Total Security, som gir robust beskyttelse mot ulike nettrusler. F.eks. virus, skadeprogramvare, løsepengevirus, spionvirus, phishing og andre voksende trusler på internett.

Relaterte artikler:

• Nettspillsvindler – Hvordan beskytte seg
• Topp 7 farer når barn spiller online
• Hva er IoT? Tips for IoT-sikkerhet
• Nettspillsvindler under pandemien – Hvordan beskytte seg