對隱私安全后知后覺的VR產(chǎn)業(yè)�����,正將用戶拖入“黑客帝國”時代
發(fā)布時間:2020-07-30 07:30 | 標簽:
VR 隱私安全 VR安全 VR隱私
微信掃一掃:分享
微信里點“發(fā)現(xiàn)”��,掃一下
二維碼便可將本文分享至朋友圈
VR產(chǎn)業(yè)的發(fā)展��,正將人們帶入一個深度數(shù)據(jù)化的時代�����。這種數(shù)據(jù)化�,是基于虛擬顯示��、人工智能、動作捕捉��、面部識別、眼球追蹤���、云數(shù)據(jù)在內的眾多新型技術空前發(fā)展、融合���、落地的結果�。
諸多經(jīng)典影視/劇作品已經(jīng)通過熒幕向人們展示了這種未來所具備的無限潛力�����,但它們卻并非全是站在憧憬的角度來描繪這個新世界:
《刀劍神域》里�����,艾恩葛朗特游戲世界要玩家拿命通關換取登出的機會�;《頭號玩家》里,綠洲成為人類經(jīng)濟崩潰后掩耳盜鈴生存的最后樂土;《攻殼機動隊》里�,人與人之間毫無隱私可言�����,無所不能的腦機連接裝置能像控制玩偶一般操縱人體��。
回到現(xiàn)在�,我們看到正處在互聯(lián)網(wǎng)發(fā)展快車道的當今社會�,正無時無刻不被黑客攻擊���、病毒入侵��、遠程監(jiān)聽等等的網(wǎng)絡安全隱患所纏繞�����,這些技術最終都只為達到一個目的——竊取用戶隱私牟利。
我們欣喜地看到Quest的問世重啟了整個VR生態(tài);但就在此前����,F(xiàn)acebook曾因5000萬用戶信息泄露的丑聞市值一夜蒸發(fā)360多億美元����。今年5月�,F(xiàn)acebook再遭駭客入侵��,5億用戶數(shù)據(jù)被上傳至黑市以3萬美金價格打包銷售。
反觀VR產(chǎn)業(yè)���,毋庸置疑���,隨著各項技術的發(fā)展與整合�,其必將迎來擁有龐大用戶群體���,普及的那一天��。然而����,盡管常說安全第一,但就在我們談技術�����、談市場的這段時間里,相關產(chǎn)品涉及的隱私安全問題似乎很少有人問津����。
愛加密移動安全研究院副院長魏超稱:“VR/AR����、5G�����、人工智能、區(qū)塊鏈等新興科技的落地加大了數(shù)據(jù)保障的壓力�。隨著互聯(lián)網(wǎng)覆蓋領域愈發(fā)寬廣���,用戶的隱私信息早過了單指地址�����、郵件、電話號的階段���,而是上升到生物識別�����、基因數(shù)據(jù)、3D信息等更高層次����。”
VR體驗在給予玩家強烈沉浸感同時,也通過各類傳感器時時刻刻記錄和分析著玩家的動作數(shù)據(jù)��。這種行為有時需要依賴于廠商強大的服務器后臺運行。
1、Facebook:用戶數(shù)據(jù)推起來的行業(yè)領頭人
早在2016年�����,就有硬核VR玩家發(fā)現(xiàn),Oculus Rift在使用過程中會在后臺自動搜索用戶的使用信息并上傳到Facebook服務器�����。
據(jù)悉,在安裝Oculus Home 軟件后一個名為 OVRServer_x64.exe的進程在探測到VR頭盔處于開機狀態(tài)時�����,便會向Facebook服務器發(fā)送數(shù)據(jù)。該玩家稱:“即使關閉Oculus軟件�,OVRServer_x64.exe進程依舊會自動在后臺運行�����,且其最高網(wǎng)絡傳輸速度達到7MB/s�。
Oculus的隱私政策明確表明��,他們將記錄用戶在使用VR頭顯時候的身體運動和空間信息����,這其中還僅僅是指手部和頭部。到了現(xiàn)在�,6DoF頭顯的出現(xiàn)早已引入深度攝像頭�,這意味著廠商將獲取到玩家的空間信息。
眾所周知�����,廣告營收一直以來是Facebook的盈利大頭���。2020年,該公司僅一季度就創(chuàng)收177億美元���,其中廣告在營收中占比超過98%�����。分析師預計�,F(xiàn)acebook能在6月季度維持1%的營收增長�����,第三季度有望增長7%���。但這確是有史以來該公司增速最差的季度。
臭名昭著的數(shù)據(jù)泄漏事件令用戶不再相信Facebook社交平臺����,并開始抵制其廣告業(yè)務��。隨后�����,包括美國知名冰激凌品牌Ben &Jerry‘s、戶外運動巨頭North Face��、聯(lián)合利華�����、福特汽車等各大客戶先后宣布終止在Facebook以及Instagram上打廣告�����。
在Quest發(fā)布之后�,其位于前端的兩組深度攝像頭再度引發(fā)用戶對數(shù)據(jù)隱私的擔憂�����。有的Quest用戶在論壇打趣道:“Facebook正通過Oculus的VR產(chǎn)品將兩雙炯炯有神的‘大眼睛’送到千家萬戶�����,好看清他們家的樣子����。”
此說法并非空穴來風���,基于攝像頭運作的Quest Insight功能�,利用了最先進的計算視覺系統(tǒng)和視覺慣性即時定位與地圖構建技術����。
這套擁有獨特架構的計算機視覺算法����,可以實現(xiàn)亞毫米級別的慣性映射�����、位置識別和幾何重建��,基于Quest專用的異步映射數(shù)字信號處理優(yōu)化和通過對OptiTrack攝像頭陣列采集的動捕數(shù)據(jù)進行深入分析,賦予了Quest精準定位的硬件基礎���。
用戶數(shù)據(jù)泄漏����,引起社會各界對Facebook的極度反感�����。最重要的是�,富豪小扎也扛不住一次又一次的巨額罰款威脅�。
2018年5月���,堪稱史上最彪悍個人信息保護法《一般數(shù)據(jù)保護條例》(GDPR)實施����,其規(guī)定,如發(fā)現(xiàn)嚴重違規(guī)����,最高可罰 2000 萬歐元或企業(yè)上一財年全球營業(yè)總額的4%,以較高者為準�����。2018年第一季度,F(xiàn)acebook營收為 119.66億,如果泄露事件是在5月25日之后被曝出來�,小扎要做的可不僅僅是道歉整改這么簡單了。
該條例的實施��,直接促使蘋果�����、亞馬遜���、YouTube�、 Flimmit�、 Netflix等巨頭廠商面臨巨額罰款,也直接推進了全球企業(yè)對于個人信息安全保護的重視��。
所以�����,三年前曾直接了當承認自己利用用戶數(shù)據(jù)的Oculus這次說法卻十分佛系——無論是Quest還是Rifts��,大多數(shù)的空間運算都是基于設備本體處理的,我們不會收集這些信息��。但是��,考慮到設備改進需要�����,我們會收集部分用戶的特定數(shù)據(jù)���,它們大多是毫無意義的符號和代碼�,但卻對于提升算法有著重要意義��。
黑客世界由黑白兩派構筑而成����,他們在網(wǎng)絡安全領域被分別稱作黑帽黑客和白帽黑客�。
黑帽黑客,唯利是圖���,利用駭客技術對企業(yè)�����、個人實施遠程監(jiān)聽����、病毒入侵、數(shù)據(jù)竊取等一系列違法行為��,并用盜取的數(shù)據(jù)在暗網(wǎng)交易牟取利益��;白帽黑客�����,則利用黑客技術對前者進行圍追堵截���,以協(xié)助企業(yè)實現(xiàn)高級別的網(wǎng)絡威脅預警�����、分析和溯源�����,保障數(shù)據(jù)財產(chǎn)安全�����。
這樣的黑白大戰(zhàn)���,被稱作“威脅對抗”�����。
一直以來�����,騰訊、網(wǎng)易���、阿里巴巴�、奇安信��、安恒等大型企業(yè)�,均在網(wǎng)絡安全方面投入巨資。全國頂尖的白帽黑客匯聚其中,他們有的是個人����、有的以企業(yè)/團隊為單位,7x24小時堅守一線��,利用黑客技術保障公司/客戶云服務器�、人工智能引擎的安全運轉,進而保障各項業(yè)務的數(shù)據(jù)財產(chǎn)安全�����。
隨著新興技術的發(fā)展和落地�����,黑帽黑客的魔抓正伸向一些具有更高攻擊價值的產(chǎn)業(yè)�����。比如��,輔助駕駛系統(tǒng)��。
騰訊安全科恩實驗室總監(jiān)呂一平表示:“對于特斯拉的研究���,我們發(fā)現(xiàn)黑客主要通過3G�、4G網(wǎng)絡WIFI信道攻入�����,由于特斯拉上有瀏覽器組件�����,車原本的中控系統(tǒng)運行在瀏覽器的系統(tǒng)上�。把WIFI信道串接到瀏覽器上,就可以攻擊其內核�,最后拿到系統(tǒng)的控制權限。”
這意味著��,特斯拉汽車在黑客眼中猶如一輛遙控車�。通過無線手柄�,黑客可以不借助任何中間硬件設施遠程操控汽車。此外�,特斯拉上還安裝了多個基于人工智能算法運行的攝像頭傳感器����,黑客亦能通過駭客技術干擾傳感器識別���,進而間接導致車輛不受控���,嚴重的甚至會引發(fā)交通事故。
諸如此類的例子太多�,不再一一列舉?��?椿豓R應用���,目前的大多數(shù)設備都支持瀏覽器功能,與上述類似的攻擊事件并非不可能在VR設備上演�����。最重要的是�,VR應用獨有的沉浸式屬性,決定其對于用戶虛擬角色���、語音社交���、肢體動作還原的程度更進一步�,數(shù)據(jù)承載的信息量自然更加值錢���。
Bigscreen于2016年4月初次上線Steam�,收獲好評如潮。隨后登陸Oculus��、WinMR�����、Quest各大VR平臺����。該應用以打造近乎真實的影院體驗而著稱,玩家可以在這里一起看電影��、聊天�����、做游戲甚至線上會議��。
2019年2月�,康涅狄格州West Haven大學安全研究小組發(fā)現(xiàn)其存在嚴重安全漏洞。攻擊者能夠激活Bigscreen用戶遠程麥克風��,監(jiān)聽其私人對話�����、查看用戶的桌面屏幕��,下載并安裝惡意軟件��,甚至從他們的個人賬戶發(fā)送消息��、傳播電腦蠕蟲病毒等�����。
從研究來看,黑客使用了基于VR程序運行的新型MITR攻擊(Man-In-The-Room)��。其能夠以“隱身”的狀態(tài)加入到Bigscreen用戶的加密社交空間���。用戶無法看到攻擊者的虛擬角色�,也獲取不到攻擊者的聲音和動作信息��。
“身旁的一團空氣正在監(jiān)聽你����,并通過攻擊此軟件入侵你的電腦”,這個一直以來只存在于科幻電影里的橋段��,如今成為了現(xiàn)實�����。發(fā)現(xiàn)漏洞后���,研究小組第一時間上報官方�,Bigscreen和Unity隨即分別發(fā)布安全補丁和安全警告解決了上述問題�。
上面我們提到,黑帽黑客使用各種手段竊取數(shù)據(jù)�,無非是為了牟取利益。然而��,隨著VR等新型技術的逐漸成熟��,數(shù)據(jù)的含義不僅僅是值錢那么簡單�����,而現(xiàn)狀卻是��,一邊黑帽黑客瘋狂作惡�,一邊相關條例卻尚未完善���。
去年�,換臉應用ZAO引起公眾對于生物數(shù)據(jù)安全的熱議。然而�,這只是冰山一角,基于深度偽造”(Deepfake)技術�����,身體也可以隨意更換。
深度偽造技術使用生成對抗網(wǎng)絡(GANs)創(chuàng)造深度偽造視頻��。這是一種能“教會”計算機勝任人類工作的有趣方法�����。一個好的對手能讓你成長更快���,而GANs背后就是“從競爭中學習”的思路�。
GANs中包含兩個相互競爭的神經(jīng)網(wǎng)絡模型���。一個網(wǎng)絡稱為生成器(generator)���,能將圖像或視頻作為輸入并生成樣本;另一個網(wǎng)絡稱為鑒別器(discriminator)�,能接收生成器數(shù)據(jù)和真實訓練數(shù)據(jù),是用于得到能正確區(qū)分數(shù)據(jù)類型的分類器�����。
所謂機器訓練過程,其實是生成器和鑒別器的“交鋒”過程���。在這一階段里,前者依靠數(shù)據(jù)庫不斷創(chuàng)造出基于樣本要求的“高仿制品”,后者充當檢驗真假的“警察”。
隨著“交戰(zhàn)”進行��,鑒別器越來越難以區(qū)分生成器給到的“產(chǎn)品”真假��,而這個過程也會產(chǎn)生很多不同程度的新合成樣本,它們被用于創(chuàng)建逼真的合成圖像和視頻�����。
2018年8月����,美國加州大學伯克利分校的研究人員在網(wǎng)上發(fā)布了名為《人人皆為舞王》的視頻,展示了深度學習算法實現(xiàn)動作轉移的方法。視頻中,專業(yè)舞者的動作被轉移到業(yè)余愛好者的身上�����,瞬間讓普通人get到開掛技能。
在VR場景里�,深度偽造技術可以被用來復制用戶在特定時間段內的動態(tài)信息�����。
試想,一個基于GANs生成的虛擬形象�,可以近乎完美的復制出一個真實玩家在社交應用中的交互習慣���。一旦這一技術被黑客利用,該虛擬形象將冒充成真實玩家對正主身邊的玩家好友進行一系列敲詐行為,這便是VR版的電信詐騙原型���。
隨著加密技術的發(fā)展��,生物特征加密開始廣泛應用于各個領域。小到手機�����、門鎖上的指紋識別,大到機房�、倉庫系統(tǒng)的虹膜解鎖、面部掃描���。在多數(shù)人眼中,生物特征是很難被復制的���,因此安全性也有所保障�����。
百度安全實驗室的小灰灰(花名)稱:“除了DNA信息之外�,大多數(shù)設備的指紋、虹膜�����、人臉���、靜脈都可以做到采集��、重制和欺騙過傳感器�。”
正所謂鋼柔不相容����,如果說生物信息加密手段為“柔”���,那么破解的最佳辦法就是借助物理設備的“鋼”����。虹膜識別的破解過程�����,第一步是基于用戶虹膜進行逆向推演���,簡單來說,就是通過各種方式采集虹膜的原始二維圖像��。
小灰灰稱:“和破解指紋識別的步驟一樣��,我先用相機拍下了自己虹膜的清晰照片����,然后通過專用程序進行二值化處理(即用透光的紙張打印虹膜,再通過印章工具和閃光燈刺激�,將虹膜放在類似軟土塊的物體上),一個‘虹膜印章’就制作完成了����。上述操作的成本在萬元以內�����,操作熟練的話5分鐘之內即可完成�����。”
“虹膜印章”逆推得到的圖像�����,與真實的人體虹膜極為相像,對于特定設備內置的虹膜識別模組破解率高達80%�����。好在����,目前基于生物識別的破解手段,大多要像上述一樣預先獲取到機主本人清晰的生物信息數(shù)據(jù)(照片或者其他)����,才能實行。
眾所周知,幾乎所有VR設備廠商�����,都在積極探索眼球追蹤技術(包含了虹膜識別)�����?��;诖思夹g����,VR設備得以實現(xiàn)注釋點渲染��,以此模擬出人眼看真實物體時近大遠小的效果。作為最早鉆研此技術的廠商����,Oculus的Quest一體機已經(jīng)配備了一整套成熟的注釋點渲染機制。
近期有專利文件顯示�,Oculus正進一步加大其在這方面的研發(fā)投入。其中一個解決方案便是在頭顯內部安裝兩顆攝像頭�,用于更精確追蹤人眼球映射的內容畫面,以此逆推出玩家此時正在注視的虛擬世界的位置�����,以此加強這一塊畫面的顯示效果��。
這個方案����,有沒有覺得和上面有點異曲同工之處���?
如果日后真的問世了此類產(chǎn)品�,你覺得你的眼球數(shù)據(jù)是否會和Oculus說的一樣只會在設備端進行分析而不會被上傳至服務器���?如果你的數(shù)據(jù)因為設備廠商一個疏忽被黑客得手��,那么你基于虹膜識別的安全保障���,也就不攻自破了����。
大家都說�,iOS系統(tǒng)是目前最安全的手機操作系統(tǒng),MAC是目前最安全的電腦操作系統(tǒng)���。但在黑客看來��,這世界上沒有攻不破的系統(tǒng)�����,只有耗不起的時間和成本��。
今天���,我們不聊各種發(fā)現(xiàn)蘋果系統(tǒng)漏洞的例子,而是更進一步——蘋果系統(tǒng)復刻�����。2019年8月,蘋果將一家支持iOS平臺的虛擬化公司Corellium告上了佛羅里達州南區(qū)地方法院����。
起訴書中寫到:“Corellium的業(yè)務完全非法復刻了蘋果的商業(yè)化版本操作系統(tǒng),以及在 iPhone �����、 iPad 和其他蘋果產(chǎn)品上運行的應用程序�����。此類產(chǎn)品允許任何擁有Web瀏覽器的人訪問���,重點是它不僅在操作系統(tǒng)和應用程序上非常逼真�,更是直接采用了未經(jīng)蘋果許可的底層計算機代碼�。”
蘋果以Corellium侵犯版權的名義提起訴訟�����,得到的卻是后者相當佛系的一句回應:“尊重他人的知識產(chǎn)權,并希望其用戶也這樣做����。”暫且不說這句話是啥含義,但最令人不寒而栗的是蘋果一向以注重版權和封閉式的開發(fā)和運營策略而著名��。
反觀Corellium�,旗下蘋果系統(tǒng)刷機軟件hypervisor早已在地下手機市場傳播多年,具有完整的黑市產(chǎn)業(yè)鏈條和源源不斷的利潤作為支撐�。為此,蘋果將漏洞上報的獎勵額度上調至100萬美元�����,其中很大部分用于獎勵iOS漏洞發(fā)現(xiàn)者�����,以從源頭封堵這一現(xiàn)象��。
回望VR行業(yè)�,目前流行的Oculus、Steam VR����、Viveport三大平臺都是基于Windows和安卓系統(tǒng)打造�,其漏洞數(shù)量多少自然不用多說����。
放眼未來,隨著VR產(chǎn)業(yè)的進一步發(fā)展�,很難說基于手勢識別、眼球追蹤����、體感交互、深度感知的VR硬件不會催生出一個全新的�,專門服務于此類產(chǎn)品的專用操作平臺。
到時��,一旦相關漏洞致使不法廠商完成對操作系統(tǒng)的復刻�,或許打著99元買二送一的山寨Quest會席卷市場,但復刻終究不是真身����,用戶用廉價換來的,是和這些黑心廠商默認簽訂了一份黑色產(chǎn)業(yè)鏈上無限期舍棄自身隱私的“賣身契”��。
上面的例子,只是冰山一角�����。人們的生活��,因為新興科技的發(fā)展而變得更加多姿多彩��,但同時也因為產(chǎn)生了大量數(shù)據(jù)���,而將自己的隱私暴露于大庭廣眾�。
根據(jù)最新國家網(wǎng)安法等保2.0規(guī)定��,要求企業(yè)把關信息的輸入�、輸出環(huán)節(jié),對于個人信息泄漏����、仿冒APP、竊聽等事件加大查處力度.
然而�����,具有法律背景的投資人Sarah Downey稱:“從現(xiàn)有條例角度來講,針對VR設備產(chǎn)生的各項身體運動����、追蹤產(chǎn)生的數(shù)據(jù),都還沒有被明確判斷為‘個人信息’(PII)范疇�����,因此VR公司和開發(fā)者可以想存什么就存什么�����,想存多久就存多久�����。”
據(jù)悉����,標榜不作惡的谷歌對于傳統(tǒng)業(yè)務有較為完善的隱私保護政策���,VR方面卻并沒有給出明確說法���;至于Facebook,盡管給出了相關說明��,但并沒有給出明確說法��;HTC的隱私政策信息自2014年9月開始停止更新�����,而Vive頭顯當時根本還沒問世��。
瑞星副總裁唐威曾對VR陀螺分享:“無論是VR設備還是其他���,黑客攻擊的方向一定是圖利而來�。一般來說��,黑客會對在攻擊成本和最后的獲利情況找平衡��。目前來說��,黑客對于用戶基數(shù)尚少����,回報尚未穩(wěn)定的VR產(chǎn)業(yè)的攻擊僅限于個別��。”
當然����,這也并不表示VR安全就不重要���。
愛加密移動安全研究院副院長魏超分享到:“從未來角度入手�����,VR安全是關乎其產(chǎn)業(yè)能否健康發(fā)展的重要一環(huán)�����。數(shù)據(jù)泄漏再結合VR內容的體驗信息�����,玩家的一舉一動都在廠商和黑客眼中無處遁形�����。相關條例完善�����,是督促廠商盡快出臺相關政策的良方�,而時至今日我很少看到有類似的機構出現(xiàn)。”
如果說VR技術迭代�����、市場發(fā)展����,是這個產(chǎn)業(yè)蓬勃發(fā)展的前提����,那么VR安全將是其蓬勃發(fā)展的堅強后盾。盡管目前更多廠商還處在前者的探索階段�,但我們欣喜地看到領頭人Oculus已經(jīng)在這方面有所作為。
為了積極應對歐盟發(fā)布的GDPR����,2018年Oculus設立了新隱私中心。次年����,Oculus主動為量產(chǎn)的兩款Inside-Out機型(Quest和Rift S)中相機部分公開的隱私條例進行補充,聲稱兩款設備上LED燈亮起時,則證明處在工作狀態(tài)�����;一旦受到黑客攻擊并獲取root權限�����,這些攝像頭將可被訪問�����,第三方開發(fā)人員無法以任何方式調用攝像頭�����。
或許����,數(shù)據(jù)隱私問題會一直伴隨著科技的發(fā)展。但如果廠商首先主動從保障用戶隱私的角度出發(fā)�,則會從根本上杜絕很多問題。
盡管�,這一愿景的實現(xiàn)難度頗大。但至少廠商可以做到不隱瞞��、不濫用用戶數(shù)據(jù)。在此基礎上推進相關條例擬定�,為VR產(chǎn)業(yè)創(chuàng)造良好發(fā)展環(huán)境付出自己應付的責任,那么科幻電影里因科技發(fā)展而帶來的末世場景���,就永遠不會出現(xiàn)在現(xiàn)實生活中復現(xiàn)���。
投稿/爆料:tougao@youxituoluo.com
稿件/商務合作: 六六(微信 13138755620)
加入行業(yè)交流群:六六(微信 13138755620)
元宇宙數(shù)字產(chǎn)業(yè)服務平臺
下載「陀螺科技」APP,獲取前沿深度元宇宙訊息
