Ahora que se está hablando tanto del metaverso, no está de más conocer los posibles riesgos para la seguridad que puede entrañar este compendio de tecnologías. En Escudo Digital hemos publicado recientemente un amplio reportaje al respecto.
Además, poco a poco se están conociendo los peligros relacionados con los dispositivos necesarios para adentrarse en este gemelo digital.
Investigadores pertenecientes a la Universidad de Rutgers han publicado 'Face-Mic', el primer trabajo que examina cómo las funciones de comando de voz en los cascos de realidad virual podrían llevar a importantes filtraciones de privacidad, conocidas como ataques de 'eavesdropping'.
En concreto, la investigación apunta a que los cibermalos podrían servirse de populares cascos de VR y AR con sensores de movimiento incorporados para registrar dinámicas faciles sutiles asociadas al habla, pudiendo robar información confidencial comunicada a través de comandos de voz, incluídas tarjetas de crédito y contraseñas.
"Face-Mic es el primer trabajo que infiere información privada y confidencial que se centra en cómo se puede aprovechar la dinámica facial asociada con el habla humana en vivo mientras se usan dispositivos AR/VR montados en la cara", ha explicado Yingying "Jennifer" Chen , directora asociada de WINLAB y directora graduada de Ingeniería Eléctrica e Informática en la Universidad de Rutgers.
“Nuestra investigación demuestra que Face-Mic puede derivar la información confidencial del usuario de los cascos AR/VR convencionales más usados, incluyendo los más populares: Oculus Quest y HTC Vive Pro”.
Según se hace eco la web HelpNet Security, se estudiaron tres tipos de vibraciones capturadas por los sensores de movimiento de estos dispositivos: los movimientos faciales asociados con el habla, las vibraciones transmitidas por los huesos y las vibraciones transmitidas por el aire. Chen comenta cómo las segundas, en particular, están ricamente codificadas con información detallada sobre el género, la identidad y el habla.
“Al analizar la dinámica facial capturada con los sensores de movimiento, descubrimos que tanto los visores de cartón como los cascos de gama alta sufren vulnerabilidades de seguridad, que revelan el habla sensible del usuario y la información del hablante sin permiso”, ha destacado la investigadora.
Obteniendo información de dígitos y palabras
La investigación también ha demostrado que aunque los proveedores suelen tener políticas con respecto al uso de la función de acceso de voz en los micrófonos de los cascos de AR/VR, algunos sensores de movimiento integrados en ellos, como el acelerómetro y el giroscopio, no requieren ningún permiso para acceder.
El caso es que esta vulnerabilidad de seguridad podría ser aprovechada por actores maliciosos para cometer espionaje. Si se esfuerzan podrían escuchar a escondidas y derivar contenido de voz simple, incluyendo dígitos y palabras, para inferir información confidencial, como números de tarjetas de crédito, números de la Seguridad Social, números de teléfono, números PIN, transacciones, fechas de nacimiento y contraseñas.
Según Chen, una vez que un hacker identifica a un usuario, el ataque de eavesdropping se puede escalar, con una mayor exposición de la información confidencial y de estilo de vida del usuario, como su historial de viaje, las preferencias de sus juegos/vídeos o las preferencias de compra. Esto puede ser muy lucrativo para las empresas de publicidad.
Oculus Quest, por ejemplo, admite el dictado de voz para ingresar direcciones web, controlar los auriculares y explorar productos comerciales. La investigación Face-Mic de Rutgers muestra que los piratas informáticos pueden aprovechar estos sensores de permiso cero para capturar información confidencial, lo que lleva a graves filtraciones de privacidad.
“Dados nuestros hallazgos, los fabricantes de visores y cascos de realidad virtual deberían considerar medidas de seguridad adicionales, como agregar materiales dúctiles en la cubierta de reemplazo de espuma y la banda para la cabeza, que pueden atenuar las vibraciones faciales asociadas con el habla que serían capturadas por el acelerómetro/giroscopio incorporado", sostiene Chen.