Credit:pix abay/CC0 New Brunswick罗格斯大学的公共领域研究人员发表了《Face-Mic》,这是第一部研究虚拟现实耳机上的语音命令功能如何导致重大隐私泄露的作品,被称为“窃听攻击”研究表明,黑客可以使用流行的内置运动传感器的虚拟现实耳机来记录微妙的、与语音相关的面部动态,以窃取通过语音命令传达的敏感信息,包括信用卡数据和密码。
市场上常见的AR/VR系统包括热门品牌Oculus Quest 2、HTC Vive Pro和PlayStation VR。
这项研究由WINLAB副主任、罗格斯大学-新不伦瑞克分校电气与计算机工程研究生主任陈莹莹“Jennifer”领导,将于3月在一年一度的移动计算与网络国际会议上发表。其他研究合作者包括德克萨斯A&M大学的N itesh Saxena和田纳西大学诺克斯维尔分校的Jian Liu。
为了证明安全漏洞的存在,陈和她的WINLAB研究员同事开发了一种针对AR/VR耳机的窃听攻击,称为“Face-Mic”
陈说:“面部麦克风是第一个通过使用面部安装的增强现实/虚拟现实设备,利用与真人语音相关的面部动态来推断隐私和敏感信息的作品。“我们的研究表明,Face-Mic可以通过四款主流的AR/VR耳机获取耳机佩戴者的敏感信息,包括最受欢迎的:Oculus Quest和HTC Vive Pro。”
研究人员研究了AR/VR耳机运动传感器捕捉到的三种振动,包括与语音相关的面部运动、骨传振动和空气传播振动。陈指出,骨传振动尤其富含详细的性别、身份和言语信息。
“通过分析运动传感器捕捉到的面部动态,我们发现纸板耳机和高端耳机都存在安全漏洞,在未经允许的情况下泄露了用户的敏感语音和说话人信息,”陈说。
虽然厂商通常有关于在耳机麦克风中使用语音访问功能的政策,但陈的研究发现,内置的运动传感器,如虚拟现实耳机中的加速度计和陀螺仪,不需要任何许可即可访问。意图实施窃听攻击的恶意行为者可以利用此安全漏洞。
窃听攻击者还可以导出简单的语音内容,包括数字和单词,以推断敏感信息,如信用卡号码、社会安全号码、电话号码、个人识别码、交易、出生日期和密码。暴露此类信息可能会导致身份盗窃、信用卡欺诈以及机密和医疗保健信息泄露。
陈说,一旦用户被黑客识别,窃听攻击可能导致用户的敏感信息和生活方式进一步暴露,如AR/VR旅行历史、游戏/视频偏好和购物偏好。这种追踪损害了用户的隐私,对广告公司来说可能是有利可图的。
例如,Oculus Quest支持语音听写,用于输入网址、控制耳机和探索商业产品。罗格斯大学的Face-Mic研究表明,黑客可能会利用这些零权限传感器来捕获敏感信息,从而导致严重的隐私泄露。
陈说,她希望这些发现将提高公众对AR/VR安全漏洞的认识,并鼓励制造商开发更安全的模型。
她说:“考虑到我们的发现,VR耳机的制造商应该考虑额外的安全措施,例如在泡沫替换盖和头带中添加韧性材料,这可能会减弱内置加速度计/陀螺仪捕获的与语音相关的面部振动。
陈和她的WINLAB同事现在正在研究面部振动信息如何认证用户并提高安全性,以及AR/VR耳机如何捕捉用户的呼吸和心率,从而不引人注目地测量幸福感和情绪状态。
来源:由phyica.com整理转载自PH,转载请保留出处和链接!
