Crédito: Pixabay/CC0 Dominio público
Investigadores de la Universidad de Rutgers-New Brunswick publicaron «Face-Mic», el primer trabajo que examina cómo las funciones de comando de voz en los auriculares de realidad virtual podrían conducir a importantes filtraciones de privacidad, conocidas como «ataques de escucha».
La investigación muestra que los piratas informáticos podrían usar auriculares de realidad virtual (AR/VR) populares con sensores de movimiento incorporados para registrar dinámicas faciales sutiles asociadas al habla para robar información confidencial comunicada a través de comandos de voz, incluidos datos de tarjetas de crédito y contraseñas.
Los sistemas AR/VR comunes en el mercado incluyen las marcas populares Oculus Quest 2, HTC Vive Pro y PlayStation VR.
Dirigido por Yingying «Jennifer» Chen, directora asociada de WINLAB y directora graduada de Ingeniería Eléctrica e Informática en la Universidad de Rutgers-New Brunswick, el estudio se presentará en la Conferencia Internacional anual sobre Computación Móvil y Redes en marzo. Otros colaboradores de investigación incluyen a Nitesh Saxena de la Universidad Texas A&M y Jian Liu de la Universidad de Tennessee en Knoxville.
Para demostrar la existencia de vulnerabilidades de seguridad, Chen y sus colegas investigadores de WINLAB desarrollaron un ataque de espionaje dirigido a los auriculares AR/VR, conocido como «Face-Mic».
«Face-Mic es el primer trabajo que infiere información privada y confidencial al aprovechar la dinámica facial asociada con el habla humana en vivo mientras se usan dispositivos AR/VR montados en la cara», dijo Chen. «Nuestra investigación demuestra que Face-Mic puede derivar la información confidencial del usuario de los auriculares con cuatro auriculares AR/VR convencionales, incluidos los más populares: Oculus Quest y HTC Vive Pro».
Los investigadores estudiaron tres tipos de vibraciones capturadas por los sensores de movimiento de los auriculares AR/VR, incluidos los movimientos faciales asociados con el habla, las vibraciones transmitidas por los huesos y las vibraciones transmitidas por el aire. Chen señaló que las vibraciones transmitidas por los huesos en particular están ricamente codificadas con información detallada sobre el género, la identidad y el habla.
«Al analizar la dinámica facial capturada con los sensores de movimiento, descubrimos que tanto los auriculares de cartón como los auriculares de gama alta sufren vulnerabilidades de seguridad, que revelan el habla sensible del usuario y la información del hablante sin permiso», dijo Chen.
Aunque los proveedores suelen tener políticas con respecto al uso de la función de acceso de voz en los micrófonos de los auriculares, la investigación de Chen encontró que los sensores de movimiento integrados, como un acelerómetro y un giroscopio dentro de un auricular VR, no requieren ningún permiso para acceder. Esta vulnerabilidad de seguridad puede ser aprovechada por actores maliciosos que intenten cometer ataques de espionaje.
Los atacantes que escuchan a escondidas también pueden derivar contenido de voz simple, incluidos dígitos y palabras, para inferir información confidencial, como números de tarjetas de crédito, números de seguridad social, números de teléfono, números PIN, transacciones, fechas de nacimiento y contraseñas. La exposición de dicha información podría conducir al robo de identidad, fraude con tarjetas de crédito y fuga de información confidencial y de atención médica.
Chen dijo que una vez que un hacker identifica a un usuario, un ataque de espionaje puede conducir a una mayor exposición de la información confidencial y el estilo de vida del usuario, como los historiales de viaje de AR/VR, las preferencias de juegos/videos y las preferencias de compra. Dicho seguimiento compromete la privacidad de los usuarios y puede ser lucrativo para las empresas de publicidad.
Oculus Quest, por ejemplo, admite el dictado de voz para ingresar direcciones web, controlar los auriculares y explorar productos comerciales. La investigación Face-Mic de Rutgers muestra que los piratas informáticos pueden aprovechar estos sensores de permiso cero para capturar información confidencial, lo que lleva a graves filtraciones de privacidad.
Chen dijo que espera que estos hallazgos generen conciencia en el público en general sobre las vulnerabilidades de seguridad de AR/VR y alienten a los fabricantes a desarrollar modelos más seguros.
«Dados nuestros hallazgos, los fabricantes de visores de realidad virtual deben considerar medidas de seguridad adicionales, como agregar materiales dúctiles en la cubierta de reemplazo de espuma y la banda para la cabeza, que pueden atenuar las vibraciones faciales asociadas con el habla que serían capturadas por el acelerómetro/giroscopio incorporado. ,» ella dijo.
Chen y sus colegas de WINLAB ahora están examinando cómo la información de vibración facial puede autenticar a los usuarios y mejorar la seguridad, y cómo los auriculares AR/VR pueden capturar la respiración y el ritmo cardíaco de un usuario para medir el bienestar y los estados de ánimo de manera discreta.
CES 2022: este nuevo casco de realidad virtual se puede usar como un par de anteojos
Cong Shi y otros, Face-Mic, Actas de la 27.ª Conferencia Internacional Anual sobre Informática Móvil y Redes (2021). DOI: 10.1145/3447993.3483272
Citación: Los investigadores descubren vulnerabilidades de seguridad en los cascos de realidad virtual (2022, 10 de febrero) consultado el 10 de febrero de 2022 en https://techxplore.com/news/2022-02-vulnerabilities-virtual-reality-headsets.html
Este documento está sujeto a derechos de autor. Aparte de cualquier trato justo con fines de estudio o investigación privados, ninguna parte puede reproducirse sin el permiso por escrito. El contenido se proporciona únicamente con fines informativos.
