content/da-dk/images/repository/isc/2021/security-and-privacy-risks-of-ar-and-vr-1.jpg

Hvad er augmented reality (AR) og virtual reality (VR)?

Augmented reality (AR) og virtual reality (VR) er godt nok tæt forbundet, men er ikke det samme. Augmented reality forbedrer den virkelige verden, ved at tilføje digitale elementer - visuelt, auditivt eller sensorisk - til et virkeligt billede. Et af de mest berømte eksempler på AR, som er set i de senere år, var det populære spil Pokémon Go.

Omvendt skaber virtual reality sit helt eget cybermiljø, i stedet for at føje noget til den eksisterende verden. Virtual reality opleves normalt via en grænseflade, som fx et headset eller nogle briller, i stedet for at vise indholdet på en skærm.

Mixed reality (MR) svarer lidt til AR, men går skridtet videre, ved at projicere digitalt indhold i 3D, der observerer og reagerer rumligt. MR lader brugerne interagere og manipulere med fysiske og virtuelle genstande og miljøer - så en virtuel kugle fx kan hoppe tilbage fra et rigtigt bord eller en væg.

Paraplybetegnelsen for VR, AR og MR er extended reality (XR). Det globale marked for XR-hardware, software og tjenester vokser hvert år. Teknologierne hurtige vækst får også nogle forbrugere til at undre sig over, de problemer det rejser ift. sikkerhed og fortrolighed.

Udfordringer ifm. Augmented realitys sikkerhed og fortrolighed

AR's udfordringer

En af de største opfattede farer ved augmented reality vedrører fortroligheden. Brugernes fortrolighed er i fare, fordi AR-teknologien kan se, hvad de laver. AR indsamler en masse information om, hvem brugerne er, og hvad de laver - i meget større grad end sociale medier eller andre former for teknologi. Det rejser en række bekymringer og spørgsmål:

  • Hvis hackerne får adgang til en enhed, er det potentielle tab af fortrolighed enormt.
  • Hvordan bruger og beskytter AR-virksomheder de oplysninger, de indsamler fra brugerne?
  • Hvor gemmer virksomhederne data fra augmented reality - lokalt på enheden eller i skyen? Hvis oplysningerne sendes til skyen, er de så krypterede?
  • Deler AR-virksomheder disse data med tredjeparter? Hvis det gør det, hvordan bruger de dem så?

Upålideligt indhold

AR-browserne letter godt nok forbedringsprocessen, men indholdet oprettes og leveres af tredjepartsleverandører og applikationer. Det rejser spørgsmålet ifm. pålideligheden, da AR er et relativt nyt område, og de godkendte indholdsgenererings- og transmissionsmekanismer stadig er under udvikling. Dygtige hackere kan erstatte en brugers AR med deres egen, vildlede folk eller give falske oplysninger.

Diverse cybertrusler kan gøre indholdet upålideligt, også selvom kilden er pålidelig nok. Det omfatter spoofing, sniffing og datamanipulation.

Social engineering

I betragtning af indholdets potentielle upålidelighed, kan augmented reality-systemerne bruges til at bedrage brugerne, som en del af et social engineering-angreb. Hackerne kan fx fordreje brugernes opfattelse af virkeligheden, via skilte eller skærme, og få dem til at udføre handlinger, der gavner hackerne.

Malware

AR-hackere kan integrere ondsindet indhold i applikationerne, via reklamer. Brugerne kan i god tro klikke på annoncer, der fører til gidselsider eller malware-inficerede AR-servere, der rummer upålidelige billeder - der underminerer AR's sikkerhed.

Tyveri af netværksoplysninger

Forbryderne kan stjæle netværksoplysninger fra bærbare enheder, der bruger Android. For de detailhandlere, der bruger shoppingapps, med augmented reality og virtual reality, kan hacking være en seriøs cybertrussel. Mange kunder har allerede registreret deres kortoplysninger og mobile betalingsløsninger i deres brugerprofiler. Hackere kan få fat i dem og tømme kontiene i stilhed, da mobilbetalinger udgør en ganske enkel procedure.

Denial of service

Et andet potentielt AR-sikkerhedsangreb er denial of service. Det kan fx gå ud på, at de brugere, der er afhængige af AR til arbejdet, pludselig afskæres fra den informationsstrøm, de modtager. Dette gælder især de fagfolk, der bruger teknologien, til at udføre opgaver i kritiske situationer med, hvor den manglende adgang til informationerne kan få alvorlige konsekvenser. Det gælder fx en kirurg, der pludselig mister adgangen til vigtige realtidsinformationer via hans eller hendes AR-briller, eller hvis en chauffør ikke kan se vejen, fordi AR-forruden bliver til en sort skærm.

Man in the middle-angreb

Netværksangribere kan overhøre kommunikationen mellem AR-browseren og AR-udbyderen, AR-kanalens ejere og tredjepartsservere. Det kan føre til man-in-the-middle angreb.

Ransomware

Hackere kan tilgå en brugers augmented reality-enhed og registrere dennes adfærd og interaktioner i AR-miljøet. Senere kan han så true med at offentliggøre optagelserne, medmindre brugeren betaler en løsesum. Det kan være pinligt eller foruroligende for enkeltpersoner, der ikke ønsker at få deres spil og/eller andre AR-interaktioner offentliggjort.

Fysisk skade

En af de mest betydningsfulde sårbarheder i AR-sikkerheden på bærbare AR-enheder er fysisk skade. Nogle wearables er mere holdbare end andre, men alle enheder har fysiske sårbarheder. Det, at holde dem funktionelle og sikre - ved fx ikke at lade nogen forsvinde med et headset, der let kan gå tabt eller bliver stjålet - er en vigtig del af sikkerheden.

AR-sikkerhed

Farer og sikkerhedsproblemer ifm. virtual reality

VR's sikkerhedstrusler adskiller sig lidt fra AR's, da VR er begrænset til lukkede miljøer og ikke involverer interaktioner med den virkelige, fysiske verden. Uanset hvad, dækker VR-headset hele brugerens synsfelt, hvilket kan være farligt, hvis hackerne overtager enheden. De kan fx manipulere indholdet, så det gør brugeren svimmel eller giver ham kvalme.

VR's bekymringer

Som med AR, udgør fortroligheden en stor udfordring ifm. VR. Et centralt spørgsmål ifm. VR's fortrolighed er de indsamlede datas meget personlige karakter - dvs. biometriske data, som fx iris- eller nethindescanninger, fingeraftryk og håndaftryk, ansigtsgeometri og stemmeaftryk. Eksemplerne omfatter fx:

  • Fingersporing: I den virtuelle verden kan brugeren fx bruge håndbevægelser, ligesom i den virkelige verden - og bruge fingrene til at skrive koden på et virtuelt tastatur med. Det betyder også, at systemet registrerer og transmitterer fingersporingens data, der viser fingrene, mens de indtaster en PIN-kode. Hvis en hacker registrere de data, kan han genskabe brugerens PIN-kode.
  • Øjensporing: Nogle VR- og AR-headsets bruger også øjensporing eller eye-tracking. De data kan betyde en hel del for de ondsindede aktører. Det, at vide præcist, hvad en bruger ser på, kan give en angriber værdifulde informationer - som kan bruges til at genskabe brugerens handlinger med.

Det er næsten umuligt at anonymisere VR's og AR's sporingsdata, fordi den enkelte person har helt unikke bevægelsesmønstre. Ved hjælp af de adfærdsmæssige og biologiske oplysninger, VR-headsettene indsamler, har forskere identificeret en række brugere ganske præcist - hvilket udgør et reelt problem, hvis nogen hacker VR-systemerne.

Ligesom postnumre, IP-adresser og stemmeaftryk, bør VR's og AR's sporingsdata betragtes som potentielt 'personligt identificerbare oplysninger' (PII). De bør betragtes som PII, fordi andre parter kan bruge dem til at skelne eller spore en persons identitet, enten alene eller sammen med andre personlige eller identificerende oplysninger. Dette gør VR's fortrolighed til en betydelig udfordring.

Ransomware

Angribere kan også indsætte funktioner i VR-platforme, som er designet til at narre brugerne til at angive deres personlige oplysninger. Lige som med AR, skaber mulighed for ransomware-angreb, hvor de ondsindede aktører saboterer platformen, før de kræver om en løsesum.

Falske identiteter eller ‘Deepfakes ‘

Maskinindlæringsteknologier betyder at man kan manipulere stemmer og videoer så meget, de ligner ægte optagelser. Hvis en hacker kan få adgang til et VR-headset bevægelsessporings data, kan han potentielt bruge dem til at oprette en digital replika (også kendt som en deepfakesx) og dermed underminere VR's sikkerhed. Det kan man lægge hen over en anden brugers VR-oplevelse og udføre et social engineering-angreb.

Udover cybersikkerheden, er en af de største virtual reality-farer, at den helt stopper en brugers visuelle og auditive forbindelse til omverdenen. Det er altid vigtigt, først og fremmest at evaluere den fysiske sikkerhed og sikkerheden i brugerens miljø. Dette gælder også AR, hvor brugerne skal bevare en solid bevidsthed om deres omgivelser, især i mere fordybende miljøer.

Andre problemer med VR, som kritikerne ofte beskriver som det negative ved virtual reality, inkluderer:

  • Mulig afhængighed.
  • Sundhedseffekter - som svimmelhed, kvalme eller mangel på rumlig opfattelse (efter længere brug af VR.)
  • Tab af menneskelige relationer.

Eksempler på AR og VR

Mulighederne med augmented reality, virtual reality og mixed reality er mange og vokser løbende. De omfatter:

  • Gaming – fra first-person shooters til strategispil og rollespilseventyr. Det mest berømte AR-spil er nok Pokémon Go.
  • Professionel sport – til træningsprogrammer, der både hjælper professionelle og amatører.
  • Virtuelle rejser – som virtuelle ture til attraktioner, som zoologiske haver, dyreparker, kunstmuseer osv. - uden at forlade hjemmet.
  • Sundhedspleje – der give lægerne mulighed for at øve sig, ved fx at lave kirurgiske simuleringer.
  • Film og TV – til film og shows, hvor man skaber forbedrede oplevelser.

Teknologien bruges også på mere seriøse områder. For eksempel bruger den amerikanske hær til at forbedre soldaternes træningsopgaver digitalt, mens politiet i Kina bruger det til at identificere mistænkte med.

Udfordringer med fortroligheden i Oculus

Oculus er et af de mest kendte VR-headsets og der er en håndfuld virksomheder, som støtter udviklingen af VR-spil massivt. Facebook købte virksomheden i 2014, og i 2020, meddelte Facebook, at man skulle bruge Facebooks login i de fremtidige VR-headsets. Denne udvikling udløste en voldsom diskussion om Oculus fortrolighed.

Beslutningens kritikere var bekymrede over måden, som Facebook indsamler, gemmer og bruger data på samt potentialet for yderligere annoncemålretning, udover at blive tvunget til at bruge en tjeneste, som nogle måske ellers har valgt ikke at bruge. Meddelelsen skabte en bølge af onlineindlæg, fra privatlivsbevidste brugere, der var bekymrede over Oculus sikkerhed, og som hævdede, at de ikke længere ville bruge deres Oculus-headset - selvom kommentatorerne følte, at det sandsynligvis næppe ville stoppe Oculus i det lange løb.

Tips: Sådan sikrer du dig, når du bruger VR og AR-systemer

Undgå at angive oplysninger, der er meget personlige

Undgå at angive oplysninger, der er meget personlige eller ikke nødvendigvis skal oplyses. Det kan måske godt oprette en konto med din e-mail, men lad være med at tilknytte dit kreditkort, medmindre du udtrykkeligt skal købe noget.

Gennemgå fortrolighedspolitikken

Det kan godt være let at springe over de lange databeskyttelsespolitikker eller vilkår og betingelser. Men det er værd at prøve at finde ud af, hvordan virksomhederne bag AR- og VR-platformene gemmer dine data, og hvad de gør med dem. Deler de fx dine data med tredjeparter? Hvilken type af data deler og indsamler de?

Brug et VPN

En måde at skjule din identitet og data på nettet på, er at bruge en VPN-tjeneste. Hvis du absolut skal videregive følsomme oplysninger, kan brugen af et VPN beskytte dig mod at oplysningerne kompromitteres. Avanceret kryptering og en ny IP-adresse arbejder sammen om at skjule din identitet og dine data. Med udviklingen inden for AR og VR, udvides VPN-modellen sandsynligvis løbende.

Hold din firmware opdateret

Når det gælder dine VR-headset og AR wearables, er det vigtigt at holde firmwaren opdateret. Ud over at tilføje nye funktioner og forbedre de eksisterende, hjælper opdateringerne med at rette eventuelle sikkerhedsfejl.

Brug en omfattende antivirussoftware

Generelt er den bedste måde at sikre sig på, når man er på nettet, at bruge en proaktiv cybersikkerhedsløsning. Det kan fx være Kaspersky Total Security som leverer en solid beskyttelse mod de forskellige trusler på nettet. Som fx vira, malware, ransomware, spyware, phishing og andre nye trusler mod sikkerheden på internettet.

Relaterede artikler:

Hvad er sikkerheds- og privatlivsrisiciene ifm. VR og AR

Hvad er de største farer ifm. virtual reality & augmented reality-systemer? Se mere om AR & VR-sikkerhed og fortrolighed, herunder Oculus fortrolighedsproblemer.
Kaspersky Logo