This post is also available in: enEnglish (אנגלית)

פקודות קוליות בתצוגות ראש המבוססות על מציאות מדומה (VR) עלולות להביא לפגיעה חמורה בפרטיות, באמצעות מה שמכונה "התקפת ציתות והאזנה". מסתבר כי חיישני תנועה מובנים בתוך משקפי VR/AR נפוצים כגון Oculus Quest 2, HTC Vive Pro, PlayStation VR אינם דורשים כל הרשאת גישה. האקרים עלולים לנצל חולשת אבטחה זו כדי לבצע התקפות ציתות.

חוקרים באוניברסיטת Rutgers New Brunswick בארה"ב גילו כי האקרים עלולים להשתמש בתצוגות הראש הפופולריות בעלות חיישני תנועה מובנים לתיעוד דינמיקות של הבעות פנים הקשורות בדיבור במטרה לגנוב נתונים רגישים כגון פרטי כרטיס אשראי וסיסמאות.

כדי להדגים את קיומן של חולשות אלה, החוקרים בראשות ינגינג ג'ניפר צ'ן ממעבדת WINLAB באוניברסיטה פיתחו התקפת ציתות על מכשירי AR/VR, המכונה Face-Mic.

"התקפה זו היא העבודה הראשונה שמציגה הסקה של מידע פרטי ורגיש באמצעות מינוף הבעות פנים הקשורות בדיבור במהלך הרכבת מכשיר AR/VR", טוענת צ'ן. "המחקר שלנו מדגים כי התקפת Face Mic יכולה לשאוב מידע רגיש של מרכיב המכשיר באמצעות כמה מהמכשירים הנפוצים ביותר בשוק".

הגורמים שמבצעים את תקיפות הציתות האלה מסוגלים להגיע לתוכן דיבור פשוט, כולל ספרות ומילים, ולהסיק ממנו נתונים רגישים כגון מספר כרטיס אשראי, מספר Social Security, מספרי טלפון ו-PIN, העברות, תאריכי לידה וסיסמאות. חשיפת מידע כזה עלולה להוביל לגניבת זהות, תרמית אשראי ודליפת מידע סודי לגבי בריאות למשל.

ברגע שההאקר מזהה את המשתמש, התקפת הציתות עלולה לחשוף גם מידע כגון היסטוריית נסיעות, העדפות גיימינג/וידאו והעדפות קניות. מעקב כזה פוגע בפרטיות המשתמש ועלול להיות בעל ערך רב לחברות פרסום.

החוקרים מקווים כי הממצאים שלהם יעלו את המודעות בציבור לגבי חולשות האבטחה של מכשירי ה-AR/VR ולעודד את היצרנים לפתח דגמים מאובטחים יותר.

החוקרים בוחנים כעת איך מידע על רעד בפנים (בזמן מתן הוראות קוליות) יכול לאמת זהות משתמש ולשפר את האבטחה, וכיצד משקפי AR/VR יכולים לתעד את קצב הנשימה וקצב הלב של המשתמש כדי למדוד את מצבו הבריאותי ומצב הרוח שלו באופן לא פולשני, כך לפי הודעת האוניברסיטה.