原作者:Shaun Nichols
当公司和用户决定适应即将到来的元宇宙的技术时,他们也会将自己暴露在一类新的安全风险和漏洞中。
随着虚拟世界和增强现实平台发展成为其创建者所称的“元界”,用户和企业将面临全新类别的安全风险和陷阱。
用户可以互动和社交的 3D 虚拟环境的概念已经存在了一段时间,但去年秋天,当Facebook 更名为 Meta并押注将技术带给消费者和企业时,元界被推到了中心舞台;其他科技公司也纷纷效仿。但专家预测,随着虚拟世界的发展,大多数人甚至没有考虑过的安全漏洞将成为常见的风险。
XR 安全倡议 (XRSI) 的首席执行官 Kavya Pearlman告诉 SearchSecurity,在早期,开发人员和公司面临的许多风险将与当前许多网站和 Web 应用程序所面临的风险相同。
“你仍然可以利用现有的 CVE,”Pearlman 指出。
“所有这些都会出现,因为大多数这些东西都在相同的协议上运行。”
Pearlman 解释说,这将意味着像Log4Shell这样的缺陷将继续对 Metaverse 平台构成威胁。开发人员和管理员将需要采取相同的安全预防措施和对策。
凤凰城大学信息系统与技术学院的首席教员 Stephanie Benoit-Kurtz 表示,在虚拟世界中添加 VR 和增强现实平台所需的额外硬件也将增加企业网络的曝光率和能力。攻击者秘密地从虚拟会议和演示中提取数据。
Benoit-Kurtz 告诉 SearchSecurity:“从 VR 耳机到其他类型的增强体验的设备,支持这种新环境所需的基础设施比现在的基础设施要广泛得多。”
“每个端点面临的挑战是,不良行为者将寻找利用这些端点的方法来接管网络上的身份或通过拒绝服务攻击阻止访问。”
事情可能会变得有形
然而,随着技术的进步和发展,可能会出现不同的问题。特别是,攻击可能会从数据领域进入实际的物理危险。
Pearlman 的 XRSI 进行了概念验证研究,展示了攻击者如何操纵 VR 平台来重置硬件的物理边界。例如,用户可能会被推入家具路径或楼梯。
随着增强现实的出现,这可能会变得更加危险,用户可能会被误导到街道上或被带入危险的身体状况,例如抢劫或抢劫。
更不令人愉快的是一种假设的攻击,从字面上看,它可能会让受害者感到恶心。
“我们知道,在 VR 中,人们可能会出现晕动病,”Pearlman 指出。“创作者可以有意嵌入一些东西,当你点击它时,会让你晕车。”
Malwarebytes 的高级威胁研究员 Christopher Boyd 说,其他攻击可能更加险恶和有害。
“几年前,利用虚拟空间的主要途径之一是付费广告。随着计划将具有动态广告空间的常规广告网络插入游戏中,预期妥协和流氓广告是合理的,”博伊德告诉 SearchSecurity。
“恶意个人本可以用旨在引发癫痫发作的频闪图像取代常规广告,就像社交媒体和论坛上对癫痫基金会的类似攻击一样。”
智力游戏
元宇宙最反乌托邦的可能性是它可能对其用户的心理健康产生影响。
最直接的是,骚扰问题将是虚拟环境开发人员必须解决的问题。
“目前在 VR 空间中进行身体剥削的主要途径是性骚扰和性虐待,这通常是由于安全设置薄弱或缺乏安全设置,”Boyd 解释说。
“长期以来,这一直是虚拟空间中的一个问题,并且存在很多解决方案。”
长期沉浸在虚拟世界中会引发其他潜在的心理健康问题。
曾任 Linden Lab 安全负责人的 Pearlman 表示,在 VR 平台 Sansar 工作时,她会体验到一种被称为“幻影时间线综合症”的感觉,虚拟世界和物理世界之间的界限变得模糊。
“你无法将现实与 VR 区分开来,”Pearlman 回忆道。“你走出虚拟现实,你仍然觉得你周围的一切都是虚拟现实。”
她说,这对于与元宇宙一起成长的孩子来说将是一个特别的危险。由于易受影响的年轻人在 VR 和 AR 平台上花费大量时间,Pearlman 担心攻击者可能会利用错误信息来操纵儿童并留下错误的信念。
还有个人数据被盗的危险。由于 Metaverse 平台将能够收集其用户的图像和其他个人详细信息,因此儿童可能会面临进一步的隐私侵犯。
“当你谈论这个领域的孩子时,隐私的概念变得更加令人担忧,”Benoit-Kurtz 说。“孩子们不可避免地会进入这个领域,而传统的儿童在线隐私保护法 (COPPA) 不足以应对这项技术的未来,也不足以应对这些环境将收集的大量个人信息。”
如何准备
Pearlman 和 Benoit-Kurtz 都同意,为了保护他们的数据和员工的隐私,公司需要的不仅仅是一些政策变化。
企业需要提前计划如何确保他们的 AR 和 VR 平台不会被黑客在外部或内部被意图侵犯同事和下属隐私的不道德经理滥用。
“组织采用这种类型的技术比 IT 和 HR 要大得多。迈向元界的这一步将在未来 5 到 10 年内显着改变组织,”Benoit-Kurtz 建议道。
“与其等待技术敲门,组织应该采取积极主动的方式来解决这个话题,现在就开始在组织层面解决对话。”