Реальность другая, угрозы те же: как безопасно использовать VR-шлемы и очки

Распространившаяся относительно недавно технология виртуальной реальности стремительно развивается и набирает популярность. Компании-производители активно развиваются и экспериментируют с новой технологией. Виртуальная реальность используется не только в развлекательной индустрии, но и в науке, образовательной сфере, медицине, архитектуре и других. Для злоумышленников доступ к таким данным может стать привлекательной целью.

Екатерина Старостина

Директор по развитию бизнеса Вебмониторэкс

На данный момент случаи взломов VR-шлемов и очков не являются широко распространенными, однако с развитием технологий виртуальной реальности и увеличением их популярности можно ожидать, что такие атаки станут более актуальными для злоумышленников. Примерами кейсов могут быть уязвимости в ПО VR-устройств, которые могут быть использованы для удаленного контроля или для сбора конфиденциальной информации. В будущем, с увеличением количества пользователей VR-технологий, вероятность взломов таких устройств может увеличиться.

Несмотря на то, что атаки на VR-шлемы и VR-наборы не широко распространены, уже сейчас необходимо подумать об информационной безопасности устройств.

Технология VR

Virtual reality — технология, позволяющая при помощи технических средств погрузить пользователя в трехмерный виртуальный мир. Человек может просто наблюдать при помощи очков другую реальность — смотреть видео в формате 360 градусов, или взаимодействовать с ней — играть, используя контроллеры.

VR-шлемы могут подключаться к телефону, компьютеру, игровой приставке или быть автономными.

Екатерина Старостина

Директор по развитию бизнеса Вебмониторэкс

Компьютерные VR-шлемы, такие, как Oculus Rift или HTC Vive, обычно имеют более жесткие меры безопасности, так как они подключаются к компьютеру и могут быть лучше защищены от внешних атак. Мобильные VR-очки, такие, как Samsung Gear VR, могут быть уязвимыми для вредоносного ПО из-за связи с мобильным устройством. Автономные VR-шлемы, например, Oculus Quest, могут быть подвержены рискам как от внешних атак, так и от внутренних угроз, поскольку они работают самостоятельно без постоянного подключения к внешнему устройству.

В полноценный VR-набор входят шлем, контроллеры и камеры. Благодаря шлему создается ощущение, что игрок находится в другой реальности — он видит ее и слышит. Датчики движения и акселерометры дают дополнительные возможности полностью погрузиться в игру. С помощью контроллеров можно производить действия и управлять своими движениями в игре, а камеры дополнительно собирают информацию — считывают движения игрока и предупреждают, если тот приближается к установленным границам в реальной жизни, например, к стене или мебели.

Также важно выделить возможности работы устройств в режиме дополненной реальности, когда человек одновременно видит и старый добрый «аналоговый» мир и виртуальные интерфейсы, с которыми также может взаимодействовать.

Риски и угрозы информационной безопасности при использовании VR

Злоумышленники могут быть заинтересованы в конфиденциальных данных пользователя. Найдя уязвимости в VR-приложении и взломав его, они смогут получить доступ к камерам и микрофону.

Илья Нейман

Руководитель группы управления проектами iTPROTECT

Взлом VR-шлемов является серьезным нарушением частной жизни и безопасности пользователей. Хакеры могут использовать уязвимости в программном обеспечении или аппаратной части устройств, чтобы получить доступ к личным данным пользователей, включая информацию о местоположении, физиологические параметры и даже видео- и аудиозаписи сессий виртуальной реальности.

Это может привести к различным негативным последствиям, включая кражу личной информации, шантаж, нарушение конфиденциальности и даже физическую опасность.

Злоумышленники также могут внедрить VR-эксплойты, чтобы получить контроль над устройствами игроков. В этом случае они имеют доступ к ПК, могут включать микрофон, чтобы подслушивать, следить за действиями пользователя, собирать различную информацию, в том числе о банковских транзакциях, логинах и паролях.

Марина Пробетс

Интернет-аналитик компании «Газинформсервис»

Проблема заключается в уязвимостях ПО. Чаще всего злоумышленники ищут простые способы атаки: фишинговые ссылки, вредоносные программы и вирусы. Такой способ может получить частичный или полный контроль над компьютером, после, злоумышленники получают доступ не только к социальной активности жертвы, но и меняют содержание отправленных им сообщений и даже контролируют его транзакции.

Если зловредное ПО самовоспроизводится, то оно может заразить всех посетителей виртуальной комнаты. Это позволяет собирать данные сразу о многих людях, следить за их действиями, шифровать файлы на их ПК, а затем шантажировать и требовать выкуп за восстановление доступа.

При использовании VR-шлема или набора в бизнесе взлом будет иметь более серьезные последствия. Компьютер, подключенный к VR-устройству, станет для злоумышленника входной дверью в корпоративную сеть.

Защита данных и обеспечение безопасности виртуальной реальности

Для того, чтобы защитить устройства от взлома, необходимо понимать степень угрозы и ответственно отнестись к вопросу безопасности. 

Илья Нейман

Руководитель группы управления проектами iTPROTECT

Вот несколько рекомендаций по защите. Следует регулярно обновлять программное обеспечение VR-шлема, чтобы устранять обнаруженные уязвимости и обеспечивать защиту от новых видов киберугроз. Подключаться стоит только к защищенным Wi-Fi-сетям с шифрованием данных (например, WPA2). Также нужно избегать открытых и ненадежных сетей, чтобы предотвратить перехват личной информации.

Важно защитить доступ к VR-шлему паролем или другими методами аутентификации, чтобы предотвратить несанкционированный доступ к устройству. Приложения для VR-шлема следует загружать только из официальных магазинов, чтобы избежать установки вредоносного программного обеспечения. Наконец, если возможно, требуется настроить права доступа к данным и функциям устройства так, чтобы ограничить доступ сторонних приложений к личной информации. Соблюдение этих мер позволит уменьшить риск киберугроз и обеспечить безопасное использование VR-шлемов в сети.

Важно не пренебрегать обновлением ПО своих устройств, ведь злоумышленники постоянно ищут новые способы получить доступ к чужим устройствам. А компании, в свою очередь — оперативно исправлять уязвимости в своих продуктах. Так, например, компания Apple выпустила первый патч безопасности, исправляющий уязвимость нулевого дня для Apple Vision Pro, на следующий день после публикации обзоров журналистов.

Заключение

Использование виртуальной и дополненной реальности быстро развивается. В разных сферах ей находят все новые способы применения. Существует не так много кейсов, связанных со взломом VR-шлемов и VR-наборов. Однако, специалисты прогнозируют рост атак злоумышленников в будущем пропорционально распространению VR-технологий.

Илья Нейман

Руководитель группы управления проектами iTPROTECT

Пока подобные кейсы прорабатываются в лабораторных и исследовательских условиях и не столь распространены, однако наш опыт показывает, что киберпреступники постоянно ищут новые способы проникновения в системы и устройства, и получения личных данных. В текущих реалиях VR-индустрия от этого также не застрахована, поэтому новые кейсы будут появляться. Важно, как отреагируют разработчики самих устройств и ПО. Возможно в будущем можно ожидать появления специализированных СЗИ для VR-устройств.

С помощью уязвимостей в VR-устройствах, злоумышленники могут собирать конфиденциальные данные, записывать аудио с микрофона, видео с камер, а также получить контроль над ПК и доступ в корпоративную систему. Чтобы этого избежать, необходимо соблюдать меры предосторожности: вовремя обновлять ПО, не сообщать никому данные для доступа, подключаться только через надежные Wi-Fi сети и устанавливать VR-приложения только из официальных магазинов.