Hoppa till huvudinnehållet

Vilka är sekretess- och integritetsriskerna med VR och AR

Vad är förstärkt verklighet (AR, augmented reality) och virtuell verklighet (VR, virtual reality)?

Förstärkt verklighet (AR) och virtuell verklighet (VR) ligger nära varandra, men är inte samma sak. Förstärkt verklighet förbättrar eller förstärker den verkliga världen genom att lägga till digitala element – visuella, hörbara eller sensoriska – i en verklig vy. Ett av de mest välkända exemplen på AR under de senaste åren är det populära spelet Pokémon Go.

Virtuell verklighet, däremot, lägger inte till saker i den verkliga världen, utan skapar en egen cybermiljö. Virtuell verklighet upplevs oftast via ett gränssnitt, till exempel ett headset eller glasögon, istället för att innehållet visas på en skärm.

Blandad verklighet (mixed reality, MR) liknar AR, men går ett steg längre genom att projicera responsivt digitalt 3D-innehåll med rumsmedvetenhet. Med MR kan användarna interagera med och manipulera både fysiska och virtuella föremål och miljöer – en virtuell boll kan till exempel studsa mot en vägg eller ett bord som finns i verkligheten.

Paraplytermen för VR, AR och MR är utökad verklighet (extended reality, XR). Den globala marknaden för maskinvara, programvara och tjänster för XR växer varje år. Men den snabba utvecklingen av denna teknik har också fått en del konsumenter att fundera över vilka problem med sekretess och säkerhet den kan medföra.

Problem med sekretess och säkerhet gällande förstärkt verklighet

AR-frågor

Sekretess uppfattas som en av de största farorna med förstärkt verklighet. Användarnas integritet utsätts för risk eftersom AR-teknik kan se vad användaren gör. AR samlar in mängder av information om vilka användarna är och vad de gör – i mycket större utsträckning än till exempel sociala medier eller annan teknik. Detta ger upphov till oro och frågor:

  • Om hackare får tillgång till enheten är potentialen för integritetsintrång enorm.
  • Hur använder och säkrar AR-företag den information de har samlat in från användare?
  • Var lagrar företag data för förstärkt verklighet – lokalt på enheten eller i molnet? Om informationen skickas till molnet, krypteras den då?
  • Delar AR-företag data med tredje part? Hur används de i så fall?

Opålitligt innehåll

AR-läsare förenklar förstärkningsprocessen, men innehållet skapas och levereras av tredjepartsleverantörer och tredjepartsprogram. Detta ställer frågor om pålitlighet, eftersom AR är ett relativt nytt område och mekanismer för att skapa och överföra autentiserat innehåll fortfarande är under utveckling. Sofistikerade hackare kan byta ut en användares AR mot deras egna, och vilseleda folk eller lämna falsk information.

Olika cyberhot kan göra innehållet opålitligt även om källan är autentisk. Detta innefattar adressförfalskning, paketsniffning och datamanipulering.

Social manipulation

Med tanke på att innehållet potentiellt är opålitligt kan system för förstärkt verklighet vara ett effektivt verktyg för att vilseleda användare som en del av angrepp som använder sig av social manipulation. Hackare skulle till exempel kunna förvränga användarnas uppfattning av verkligheten med falska skyltar eller instruktioner som gör att de utför handlingar som hackarna har nytta av.

Skadlig programvara

AR-hackare kan bädda in skadligt innehåll i program via annonsering. Godtrogna användare kan klicka på annonser som leder till webbplatser som hålls som gisslan eller AR-servrar smittade med skadlig kod som har opålitliga scenerier – vilket underminerar AR-säkerhet.

Stjäla inloggningsinformation på nätverk

Brottslingar kan stjäla inloggningsinformation för nätverk från bärbara enheter med Android. För detaljhandlare som använder shoppingappar med förstärkt verklighet och virtuell verklighet kan hackning vara ett cyberhot. Många kunder har redan sin kortinformation och lösningar för mobilbetalning registrerade i sina användarprofiler. Hackare kan ta sig in på dessa och tömma konton utan att bli upptäckta, eftersom mobilbetalningar är en så sömlös process.

DDoS (Denial of Service)

En annan potentiell AR-säkerhetsattack är Denial of Service. Ett exempel kan handla om användare som förlitar sig på AR i arbetet och plötsligt är avstängda från den informationsström de tar emot. Detta kan vara speciellt oroande för den som använder tekniken för att utföra uppgifter i kritiska situationer, där det kan få allvarliga konsekvenser om man inte har tillgång till information. Ett exempel kan vara en kirurg som plötsligt förlorar kontakten med viktig realtidsinformation på sina AR-glasögon, eller en förare som plötsligt inte ser vägen när AR-vindrutan blir svart.

MITM-attacker (man-in-the-middle)

Nätverksangripare kan lyssna på kommunikationen mellan AR-läsaren och AR-leverantören, AR-kanalägarna samt tredjepartsservrar. Detta kan leda till MITM-attacker.

Utpressningsprogram

Hackare kan få tillgång till en användares enhet för förstärkt verklighet och registrera deras uppträdande och interaktioner i AR-miljön. Senare kan de hota att offentliggöra dessa inspelningar om inte användaren betalar en lösensumma. Detta kan vara generande eller uppskakande för personer som inte vill att deras spelande eller andra AR-interaktioner blir offentliga.

Fysisk skada

En av de mest betydande AR-sårbarheterna för bärbara AR-enheter är fysisk skada. Vissa bärbara enheter är mer tåliga än andra, men alla enheter har fysiska sårbarheter. Att hålla dem funktionella och säkra – till exempel att inte låta någon gå iväg med ett headset som lätt kan tappas eller bli stulet – är en viktig säkerhetsaspekt.

AR-säkerhet

Faror och säkerhetsproblem gällande virtuell verklighet

VR-säkerhetshot är lite annorlunda än för AR, eftersom VR är begränsat till stängda miljöer och inte handlar om interaktion med den fysiska verkligheten. Men VR-headset täcker användarens hela synfält, vilket kan vara farligt om hackare tar över enheten. De kan till exempel manipulera innehållet så att användaren blir yr eller illamående.

VR-problem

Precis som för AR är sekretess en stor fråga för VR. En nyckelfaktor inom VR-sekretess är att de data som samlas in är mycket personliga – det vill säga biometriska data som iris- eller näthinneskanning, finger- och handavtryck, ansiktsgeometri och röstprofiler. Exempel på detta är:

  • Fingerspårning: i den virtuella världen kan användarna använda handgester på samma sätt som i verkligheten – till exempel genom att använda fingrarna för att skriva en kod på en virtuell knappsats. Men om man gör detta betyder det att systemet spelar in och överför fingerspårningsdata som visar hur fingrarna skriver en PIN-kod. Om en angripare kan fånga upp dessa data kan de återskapa en användares PIN-kod.
  • Ögonspårning: vissa VR- och AR-headset kan också använda ögonspårning. Dessa data kan vara värdefulla för den som har ondskefulla avsikter. Det kan vara värdefull information för en angripare att veta vad en användare tittar på – och de kan spela in informationen för att återskapa användarens handlingar.

Det är nästan omöjligt att anonymisera VR- och AR-spårningsdata, eftersom alla har unika rörelsemönster. Med beteendemässig och biologisk information som samlats in från VR-headset har forskare identifierat användare med mycket stor noggrannhet – vilket är ett stort problem om VR-system hackas.

Precis som postnummer, IP-adresser och röstprofiler bör VR- och AR-spårningsdata anses vara potentiell 'personligt identifierbar information' (PII). De kan anses vara PII eftersom andra kan använda dem för att identifiera eller spåra en enskild persons identitet, antingen i sig själva eller i kombination med annan personlig eller identiferande information. Detta gör att VR-sekretess är ett betydande orosmoln.

Utpressningsprogram

Angripare kan också föra in funktioner i VR-plattformar som utformats för att lura användare att lämna ut personuppgifter. Precis som med AR skapar detta utrymme för angrepp med utpressningsprogram, där illvilliga aktörer saboterar plattformar och sedan kräver en lösensumma.

Falska identiteter eller ‘deepfake‘

Maskininlärningsteknik gör att det går att manipulera röst och video så att de fortfarande ser ut som äkta film. Om en hackare kan komma åt rörelsespårningsdata från ett VR-headset kan de potentiellt utnyttja dessa för att skapa en digital replik (även kallad deepfake) och på så sätt underminera VR-säkerhet. De skulle sedan kunna överlagra detta på någon annans VR-upplevelse för att utföra ett angrepp med social manipulering.

Förutom cybersäkerhet är en av de största farorna med virtuell verklighet att den helt blockerar världen utanför för användarens syn och hörsel. Det är alltid viktigt att först utvärdera den fysiska säkerheten för användarens miljö. Detta gäller även AR, där användarna måste vara väl medvetna om sina omgivningar, speciellt i mer inneslutande miljöer.

Andra problem med VR som kritiker ibland beskriver som nackdelar med virtuell verklighet är bland annat:

  • Potential för beroende.
  • Hälsoeffekter – till exempel yrsel, illamående och rumslig förvirring (efter lång användning av VR).
  • Förlust av mänsklig samvaro.

Exempel på AR och VR

Användningsområdena för förstärkt verklighet, virtuell verklighet och blandad verklighet är mångskiftande och blir allt fler. De inkluderar:

  • Spel – från förstapersonsskjutare till strategispel till rollspelsäventyr. Det mest kända AR-spelet är antagligen Pokémon Go.
  • Proffsidrott – för träningsprogram som hjälper både proffs och amatörer.
  • Virtuella resor – till exempel virtuella utfärder till djurparker, safariparker, konstmuséer och så vidare – utan att man lämnar hemmet.
  • Hälsovård – så att vårdpersonal till exempel kan öva med kirurgiska simuleringar.
  • Film och TV – för att filmer och TV-program ska kunna skapa förbättrade upplevelser.

Tekniken används även i mer allvarliga sammanhang. Till exempel använder USA:s armé den till digitalt förbättrade utbildningsuppdrag för soldater, medan den kinesiska polisen använder den för att identifiera misstänkta.

Oro för Oculus-sekretess

Oculus är ett välkänt fabrikat av VR-headset, och ett av en handfull företag som ställt sig bakom VR-spelutveckling i stor skala. Facebook förvärvade företaget 2014, och 2020 meddelade Facebook att Facebook-inloggning skulle krävas för framtida VR-headset. Denna utveckling gav upphov till en het debatt om Oculus-sekretess.

Beslutets kritiker var oroade för hur Facebook samlar in, lagrar och använder data och potentialen för ytterligare personanpassad annonsering, och även att man blev tvungen att använda en tjänst som man kanske inte annars hade valt att använda. Meddelandet ledde till en våg av inlägg online från sekretessmedvetna användare som oroade sig för Oculus-säkerhet och sade att de skulle sluta använda sina Oculus-headset – även om kommentatorerna trodde att det var osannolikt att det skulle hindra Oculus på längre sikt.

Tips: hålla sig säker när man använder VR- och AR-system

Undvik att lämna ut information som är för personlig

Lämna inte ut information som är för personlig eller som inte behöver lämnas ut. Det är en sak att lägga upp ett konto med din mejladress, men lägg inte till ditt kreditkort om du inte specifikt köper något.

Granska sekretess- och integritetspolicyer

Det är ibland lättare att hoppa över långrandiga dataintegritetspolicyer och regler och villkor. Men det är värt att ta reda på hur företagen bakom AR- och VR-plattformar lagrar dina data och vad de gör med dem. Delar de till exempel dina data med tredje part? Vilken sorts data samlar de in och delar?

Använd ett VPN

Ett sätt att hålla din identitet och dina data privata på webben är att använda en VPN-tjänst. Om du behöver lämna ut känslig information kan användning av ett VPN skydda dig från att informationen röjs. Avancerad kryptering och en ändrad IP-adress fungerar tillsammans för att hålla din identitet och dina data privata. Med utvecklingen inom AR och VR kommer VPN-modellen troligen att expandera inom dessa tekniksegment.

Håll den fasta programvaran uppdaterad

För dina VR-headset och din bärbara AR-utrustning är det nödvändigt att hålla den fasta programvaran uppdaterad. Förutom att det lägger till nya funktioner och förbättrar de befintliga hjälper uppdateringar till att täppa till säkerhetsluckor.

Använd heltäckande antivirusprogram

I allmänhet är det bästa sättet att hålla sig säker online att använda en proaktiv cybersäkerhetslösning. Som till exempel Kaspersky Total Security, som ger robust skydd mot olika onlinehot. Till exempel virus, skadlig kod, utpressningsprogram, spionprogram, nätfiske och andra säkerhetshot som kan uppkomma på internet.

Relaterade artiklar:

Vilka är sekretess- och integritetsriskerna med VR och AR

Vilka är de största farorna med system för virtuell verklighet och förstärkt verklighet? Läs om sekretess och integritet för AR och VR, inklusive integritetsproblem med Oculus.
Kaspersky logo

Utvalda inlägg