Bezpečnostní riziko: Pohyby ve virtuální realitě jsou unikátní jako otisky prstů

15. 8. 2023

Sdílet

 Autor: Depositphotos
Výzkumníci z Kalifornské univerzity v Berkeley zjistili, že údaje o pohybu rukou a hlavy mohou být při identifikaci uživatelů stejně dobré jako otisky prstů a skeny obličeje, což s rostoucím počtem náhlavních souprav vyvolává řadu obav ohledně ochrany soukromí.

Výzkumné studie ukázaly, že údaje o pohybu hlavy a rukou získané z náhlavních souprav pro virtuální realitu (VR) by mohly být stejně účinné při identifikaci osob jako otisky prstů nebo skeny obličeje, což by mohlo ohrozit soukromí uživatelů při interakci v pohlcujícím virtuálním prostředí.

Využíváte už některé z inovativních metod šifrování?

Dvě nedávné studie výzkumníků z Kalifornské univerzity v Berkeley ukázaly, že údaje shromážděné pomocí náhlavních souprav VR by mohly být použity k identifikaci osob s vysokou přesností a potenciálně odhalit řadu osobních atributů, včetně výšky, hmotnosti, věku a dokonce i rodinného stavu, uvádí zpráva agentury Bloomberg.

Poptávka po náhlavních soupravách VR v posledních letech výrazně vzrostla, protože jsou k dispozici stále výkonnější zařízení za nižší ceny. Podle analytiků společnosti IDC by měl prodej náhlavních souprav pro virtuální realitu a rozšířenou realitu (AR) letos dosáhnout 10 milionů kusů a v roce 2026 až 25 milionů kusů.

Navzdory odporu vůči konceptu takzvaného metaversa velké technologické společnosti, jako jsou Meta, Apple a HTC, nadále investují desítky miliard dolarů ročně do vývoje zařízení VR a AR ve snaze prosadit jejich masové přijetí. 

Zařízení obsahují řadu kamer a senzorů, které mohou sledovat pohyby těla, očí a obličeje. Ty slouží jako vstupy pro softwarové aplikace VR a umožňují uživatelům interakci s virtuálním prostředím. Data se zpracovávají v zařízení, ale mohou být také sdílena s externími servery, softwarovými aplikacemi, jako jsou hry, a platformami pro virtuální setkání – což vede k riziku úniku osobních údajů.

Pohyb dat a jedinečné identifikátory

Studie, kterou autoři z Kalifornské univerzity v Berkeley zveřejnili v únoru, zkoumala, jak lze data o pohybu generovaná v zařízeních VR využít k „jedinečné identifikaci“ jinak anonymního uživatele.

Studie zahrnovala údaje shromážděné z více než 55 000 uživatelských účtů v populární rytmické hře Beat Saber pro VR, které se od uvedení na trh prodaly miliony kopií. Výzkumníci analyzovali veřejná data z 2,5 milionu herních záznamů pomocí algoritmů strojového učení a byli schopni identifikovat jednotlivce z 50 000 uživatelů s 94% přesností na základě pouhých 100 sekund dat o pohybu hlavy a rukou.

Hackeři už kradou i věrnostní body od aerolinek nebo z hotelů Přečtěte si také:

Hackeři už kradou i věrnostní body od aerolinek nebo z hotelů

O tom, že údaje o pohybu lze využít k identifikaci osob, se ví již desítky let, ale výzkumníci z Kalifornské univerzity v Berkeley tvrdí, že toto je první studie, která ukazuje rozsah ohrožení soukromí. Širší rozšíření náhlavních souprav VR a her, jako je Beat Saber, nyní nabízí přístup k mnohem většímu souboru dat než dřívější studie, které se opíraly o mnohem menší skupiny účastníků – největší z nich byla 511 uživatelů, uvedli vědci s odkazem na studii z roku 2020.

„Tato práce je první, která skutečně ukazuje, do jaké míry může biomechanika sloužit jako jedinečný identifikátor ve VR, na stejné úrovni jako široce používané biometrické údaje, jako je rozpoznávání obličeje nebo otisků prstů,“ uvádí se ve výzkumné zprávě.

Rozdíl spočívá v tom, že rozpoznávání obličeje a otisků prstů není nutné pro přístup k existujícím internetovým službám, poznamenávají vědci v dokumentu PDF souvisejícím se studiemi, zatímco údaje o pohybu jsou „základní součástí“ fungování zařízení AR a VR a musí být sdíleny s „různými stranami, aby bylo možné využívat metaverza“.

Další studie, zveřejněná v červnu, zahrnovala průzkum více než 1 000 účastníků, kteří odpovídali na řadu otázek týkajících se 50 atributů zahrnujících osobní původ, demografické údaje, vzorce chování a informace o zdravotním stavu. Výsledky ukázaly, že více než 40 z nich bylo možné „konzistentně a spolehlivě“ odvodit, když byly algoritmy strojového učení a hlubokého učení aplikovány na pohybová data generovaná hráči Beat Saber.

Cílem studie bylo prokázat, že „z pohybu hlavy a rukou lze odvodit širokou škálu osobních proměnných a proměnných citlivých na ochranu soukromí“, uvedli vědci. Zjištění by měla sloužit ke zdůraznění „naléhavé potřeby mechanismů zachovávajících soukromí ve víceuživatelských aplikacích VR.“

Ačkoli je mnoho lidí zvyklých na sběr dat na stávajících internetových platformách, v imerzivních virtuálních prostředích je povědomí o otázkách soukromí malé, tvrdí výzkumníci – a chybí dostupné nástroje pro zachování anonymity.

Ochrana soukromí ve virtuální realitě je pro technologické firmy prioritou

Problémy s ochranou soukromí nejsou nijak nové, ale zařízení AR/VR a virtuální prostředí představují novou hranici.

„Jak jsme viděli, zvýšená digitalizace přináší nová rizika při odhalování soukromých informací,“ řekl Tuong Nguyen, ředitel analytik společnosti Gartner. Kromě vytváření zážitků na míru uživatelům lze data z náhlavních souprav VR také „rekonstruovat do behaviorálního profilu – dalšího, velmi podrobného vektoru soukromých informací,“ řekl Nguyen.

„Vzhledem k tomu, že náhlavní soupravy VR nosí uživatelé na obličeji, jsou ze své podstaty intimní,“ řekl Leo Gebbie, analytik společnosti CCS Insight. Stále sofistikovanější zařízení „díky externím kamerám vidí, co uživatel vidí, a díky řadě senzorů mohou sledovat pohyby a chování uživatelů,“ dodal. „To jednoznačně vyvolává otázky týkající se uživatelských dat a soukromí, protože se pravděpodobně jedná o invazivnější formu nositelné technologie, než jakou jsme viděli dříve.“

Vyvíjejte aplikace v cloudu. Radíme, jak na to! Přečtěte si také:

Vyvíjejte aplikace v cloudu. Radíme, jak na to!

S rostoucím přijetím se výrobci náhlavních souprav VR již snaží řešit obavy o ochranu soukromí. To zahrnuje „omezení množství biometrických údajů dostupných aplikacím třetích stran, zpracování a uchovávání dalších sledovacích údajů v zařízení, anonymizaci a agregaci všech sdílených údajů atd.,“ řekl Nguyen.

Otázka soukromí uživatelů bude pro odvětví VR „nesmírně důležitá“, řekl Gebbie. „Již nyní vidíme, jak společnosti zvyšují své úsilí, aby předešly obavám v této oblasti.“

Gebbie uvedl příklad připravované náhlavní soupravy Vision Pro společnosti Apple, která obsahuje 12 kamer, pět senzorů a šest mikrofonů, ale „důležité údaje o uživateli, jako je sledování očí a skenování oční duhovky, bude uchovávat plně zašifrované a v zařízení, aby uklidnila obavy uživatelů“.

„Očekávám, že se tato oblast stane významnějším předmětem zájmu konkurentů, jako je Meta, kteří budou také chtít ukázat, že respektují soukromí uživatelů,“ řekl.

V nedávném rozhovoru vedoucí produktu Meta pro platformu Horizon Workrooms hovořil o závazku společnosti k ochraně soukromí uživatelů na prémiovém zařízení Quest Pro.

Soukromí zaměstnanců na pracovišti je také předmětem zájmu

V posledních letech různí dodavatelé náhlavních souprav VR přesunuli pozornost na případy použití v podnicích, kde je míra přijetí stále nízká. Dosud se podnikové využití týkalo převážně školení zaměstnanců a vzdálené asistence, ačkoli prodejci doufají, že VR bude nakonec využívána i pro spolupráci a produktivitu na pracovišti.

Obavy o ochranu osobních údajů by mohly vést k odporu zaměstnanců, řekl Gebbie.

AMD hlásí, že brzy vyjdou nové Radeon 7000 GPU pro „nadšence“ Přečtěte si také:

AMD hlásí, že brzy vyjdou nové Radeon 7000 GPU pro „nadšence“

„Zaměstnanci mohou mít pocit, že náhlavní soupravy VR narušují jejich soukromí, zejména proto, že mnoho lidí nyní pracuje flexibilně a mohou se bránit myšlence, že by si domů přinesli zařízení s několika kamerami a senzory,“ řekl.

Schopnost identifikovat osoby prostřednictvím údajů o sledování pohybu by mohla představovat řadu problémů. Například by mohla zabránit oddělení pracovních a osobních profilů, uvedli výzkumníci z UC Berkeley.

„Vezměme si veřejně činnou osobu, která pravidelně používá systém VR se svými firemními pověřeními k pořádání schůzek a vykonávání odborné práce. Večer se přihlásí pomocí jiného účtu, aby si zahrála hry VR pro více hráčů (kde se nemusí chovat zrovna profesionálně), a později večer použije třetí účet pro zážitky ve VR pro dospělé,“ uvedli výzkumníci.

„Většina lidí by v této situaci rozumně preferovala, aby poskytovatelé služeb nemohli tyto účty spojovat. Za současného stavu by jedinečné vzorce pohybu uživatele umožnily jakémukoli pozorovateli (nebo skupině domluvených pozorovatelů) rychle propojit všechny tyto účty dohromady.“

Uživatelé chytrých telefonů a cloudových služeb projevili v minulosti pozoruhodnou ochotu vyměnit soukromí za pohodlí. Totéž může platit i pro VR.

„Kdysi zaměstnanci možná nechtěli mít chytrý telefon z práce, protože toto zařízení má také kamery, mikrofony a umožňuje lidem větší kontakt i mimo pracovní dobu; postupně se to však jako chování normalizovalo,“ řekl Gebbie. „VR může jít podobnou cestou, kdy může existovat určitý počáteční odpor, který se časem uvolní.“

Chcete dostávat do mailu týdenní přehled článků z Computerworldu? Objednejte si náš mailový servis a žádná důležitá informace vám neuteče. Objednat si lze také newsletter To hlavní, páteční souhrn nejdůležitějších článků ze všech našich serverů. Newslettery si můžete objednat na této stránce.

Z podnikového hlediska jsou rizika pro ochranu osobních údajů zatím omezená vzhledem k dosavadnímu nevýraznému zavádění VR v podnicích. „Využívání VR v podnicích je stále v počátcích,“ řekl Nguyen.„Existují obavy o soukromí i bezpečnost, ale v tuto chvíli malý rozsah potenciální riziko poněkud zmírňuje.“

bitcoin školení listopad 24

Jako příklad uvedl, že zavedení šesti chytrých telefonů ve srovnání s celopodnikovým zavedením znamená rozdílnou úroveň rizika.

„Riziko je v obou případech, ale rozsah těch druhých změn riziko nelineárním způsobem podstatně zvyšuje," řekl.

 

Security World si můžete koupit i jako klasický časopis, buď v klasické tištěné formě nebo v elektronické verzi. Věnujeme se bezpečnosti počítačových systémů, ochraně dat, informací a soukromí.  Jsme jediný titul na českém a slovenském trhu, který oslovuje širokou čtenářskou obec – od ředitelů firem, přes odborníky na bezpečnost po koncové uživatele. Naším cílem je poskytnout ucelený přehled o bezpečnostních hrozbách a zejména o tom, proč a jak se jim bránit, případně proč respektovat a dodržovat nařízení IT manažerů ve firmách.