تهدیدات سایبری واقعیت های مجازی و افزوده

تهدیدات سایبری واقعیت های مجازی و افزوده
تاریخ انتشار : ۰۵ خرداد ۱۳۹۸

با توجه به گسترش و پیشرفت روزافزون فناوری‌های واقعیت مجازی و واقعیت افزوده، نگرانی‌ها پیرامون مسائل امنیتی آن‌ها نیز افزایش یافته است.

به گزارش گرداب، فرقی نمی‌کند فناوری‌های جدید چگونه فراگیر می‌شوند. سازمان‌ها و اشخاص همواره باید به ظرفیت‌های بالقوه‌ی آسیب‌پذیری آن‌ها و چالش امنیت سایبری پیش رو توجه داشته باشند. برای نمونه می‌توان به واقعیت مجازی (VR) و واقعیت افزوده (AR) اشاره کرد.
تکامل فناوری باعث شده است شیوه‌ی تعامل مردم با رسانه دچار تغییر شود. از روزنامه به رادیو، تلویزیون و سپس تلفن هوشمند، جامعه شیوه‌ای جدید را برای به اشتراک‌گذاری اطلاعات پیدا کرده است. به همین ترتیب از زمان ظهور فناوری‌های واقعیت مجازی و واقعیت افزوده، چشم‌انداز رسانه با دگرگونی‌های گسترده‌ای در زمینه انتخابات و اولویت‌های مردم مواجه شده است.

آیا افزایش روزافزون محتوای مصنوعی در جهان واقعی یا غرق شدن کامل در فضای مجازی، می‌تواند شیوه‌ی زندگی، رفتارهای اجتماعی، کار و تفریح را تغییر دهد. در حال حاضر تعدادی از شرکت‌ها و کسب‌وکارها با فراهم آوردن تجربیات جذاب از 2 فناوری مذکور، کسب و کار خود را توسعه داده، در حال سبقت گرفتن از رقبای خود هستند. با وجود این که نوآوری‌های مذکور از مزایا و زیبایی‌های خاص خود برخوردار هستند؛ اما باید چالش‌های امنیت سایبری که با خود به همراه می‌آورند نیز موردبررسی قرار گیرند.

چالش‌های امنیت سایبری واقعیت مجازی و افزوده

اکثر متخصصان و خبرگزاری‌ها، همواره به فناوری‌های نوظهور خوش‌بین هستند. این افراد پیش‌بینی می‌کنند که ارزش بازار واقعیت مجازی و واقعیت افزوده تا سال 2022 به 170 میلیارد دلار می‌رسد. با توجه به این که فناوری‌های موردبحث به مرور زمان به جریان اصلی نوآوری تبدیل می‌شوند، عده‌ای از بازیگران بد، بر پایه‌ی آن‌ها روش‌های غیرقانونی جدیدی را امتحان می‌کنند تا بتوانند شبیه‌سازی کاربران را مختل سازند.

برای مثال. می‌توان فردی را تصور کرد که به یک مکان جدید وارد می‌شود. از آنجایی که این فرد اطلاعات کمی از محیط پیرامون خود دارد، برنامه مسیریابی بر پایه واقعیت افزوده را در تلفن هوشمندش اجرا می‌کند. سپس آن را مقابل صورت خود گرفته، به نرم‌افزار اجازه می‌دهد هم‌زمان با راه رفتن، مسیر را به نمایش بگذارد. حال اگر یک هکر داده‌ها و سامانه‌ی مسیریابی را دست‌کاری کند، چه اتفاقی رخ می‌دهد؟ چه اتفاقی رخ می‌دهد اگر با دست‌کاری داده‌ها، مخاطب به مسیری اشتباه هدایت شود؟ برای نمونه اگر برنامه رستورانی را که غذای موردعلاقه‌ی مصرف‌کننده را دارد نشان بدهد؛ اما با رسیدن به محل، هیچ‌چیزی وجود نداشته باشد چه رخ خواهد داد؟ اگر داده‌های موقعیت مکانی فرد برای مجرمان حاضر در منطقه ارسال شود چه رخ می‌دهد؟

حوادثی مانند موارد یاد شده هنوز رخ نداده‌اند؛ اما هکرها قادر هستند علاوه بر موارد یاد شده، بسیاری از انواع حملات دیگر را نیز به اجرا بگذارند. به همین دلیل باید آسیب‌پذیری‌های مذکور را در نظر گرفته و پیش از این که دیر شود، راه‌کارهایی را به منظور برطرف سازی آن‌ها ایجاد کرد.

داده‌های جدید، تهدیدات امنیت سایبری تازه

در گذشته و زمانی که برنامه‌ها تنها روی رایانه‌ها اجرا می‌شدند، شرکت‌ها نمی‌توانستند، اطلاعاتی جامع را در رابطه با مشتریان خود به دست آورند. تنها راه موجود برای دستیابی به این هدف، کسب اطلاعات دقیق از الگوهای مرور یا تعامل با وب‌سایت بود؛ اما از زمان به وجود آمدن تلفن‌های هوشمند، شرکت‌ها موفق شدند به جزئی‌ترین داده‌های مشتریان مانند موقعیت مکانی، سلیقه‌ها و نوع تجربه‌ی کاربری وی دسترسی پیدا کنند.

با روی کار آمدن حسگرهای اینترنت اشیا، شرکت‌ها توانایی جمع‌آوری اطلاعات دقیق و عمیق‌تری را در رابطه با مشتریان خود دارند. اکنون با وجود فناوری‌های واقعیت مجازی و واقعیت افزوده، درهای جدیدی برای جمع‌آوری داده‌های کاربران باز خواهد شد.

بخشی از اطلاعات قابل‌جمع آوری، شامل موارد زیر است:

• ابتدا می‌توان هدست‌های واقعیت مجازی و افزوده‌ی مورد استفاده را در نظر گرفت. این هدست‌های قابل‌حمل از دوربین‌ها و حسگرهای متعددی بهره می‌برند. این تجهیزات روی سر و چشم افراد قرار می‌گیرند و می‌توانند کوچک‌ترین حرکات سر و چشم و محتوای به نمایش گذاشته شده روی نمایشگر را ثبت کرده، منتقل کنند.

• تعدادی از تجربیات واقعیت مجازی مربوط به جلساتی است که در محیط آن برگزار می‌گردد. از آنجایی که سخت‌افزارها به میکروفن نیز مجهز هستند، می‌توانند همه‌ی صحبت‌های انجام شده را ثبت کنند.

• اگر هدست‌ها به فناوری تشخیص ژست‌های حرکتی نیز مجهز باشند، قادر خواهند بود اطلاعات قابل‌توجهی را در رابطه با عادت‌های رفتاری و جسمی مصرف‌کننده جمع‌آوری کنند.

• به کمک 2 فناوری بالا به سادگی می‌توان به موقعیت مکانی افراد دسترسی پیدا کرد. با وجود این نمی‌توان با اطمینان گفت که شرکت‌ها داده‌های مکانی را به‌منظور انجام فعالیت‌های غیرقانونی استخراج می‌کنند؛ زیرا بعضی از برنامه به تشخیص موقعیت جغرافیایی نیاز دارند. برای نمونه می‌توان به بازی پوکمون گو (Pokemon Go) اشاره کرد.

شرکت‌های فعال در حوزه فناوری‌های واقعیت مجازی و واقعیت افزوده می‌توانند به هر شیوه دلخواهی، از داده‌های جمع‌آوری شده از کاربران استفاده کرده و آن‌ها را مدیریت کنند؛ زیرا هیچ قانون یا دستورالعملی وجود ندارد که در این رابطه توضیحاتی را ارائه داده باشد. این مسئله از عدم بلوغ نوآوری‌های مذکور نشئت می‌گیرد.

حتی اگر شرکت‌ها در رابطه با شیوه‌ی استفاده از داده‌های جمع‌آوری شده شفاف‌سازی کنند، هکرها همواره روش‌هایی را به منظور سو استفاده از داده‌ها پیدا می‌کنند.

در بالا انواع مختلفی از داده‌های قابل جمع‌آوری توسط شرکت‌ها ذکر شد. در ادامه تعدادی از تهدیداتی که در سال‌های آینده پیرامون فناوری‌های مذکور ظهور می‌کنند ذکر شده‌اند:

نظارت:
داده‌هایی که شرکت‌های ارائه‌دهنده خدمات واقعیت مجازی و افزوده جمع‌آوری می‌کنند، نه تنها توسط آن‌ها قابل‌بررسی است، بلکه بازیگران مخرب نیز توانایی دسترسی و نظارت روی آن‌ها را دارند. چه اتفاقی رخ می‌دهد اگر هکرها اطلاعات کاربران را سرقت کرده و سپس قربانیان را مجبور کنند مبلغ مشخصی باج را بپردازند؟ آیا اصلاً شخصی دوست دارد که داده‌های وی جمع‌آوری شده و بدون اطلاع وی مورد استفاده قرار گیرد؟

سرقت اعتبارنامه:
در بخش‌های قبل ذکر شد که هدست‌ها می‌توانند داده‌های مربوط به شیوه‌ی رفتار فیزیکی کاربران را جمع‌آوری کنند. چه اتفاقی رخ می‌دهد اگر کسی در محیط مجازی خود شروع به تایپ کردن کند؟ اگر یک هکر در همان زمان به ابزار کاربر حمله کند چه؟

حمله اختلال سرویس توزیع شده:
برای نمونه‌ای دیگر می‌توان فردی را تصور کرد که با دوستان خود در یک رستوران نشسته و در حال صحبت کردن است. ناگهان یکی از افراد جمع شروع به انجام حرکاتی غیرمعمول می‌کند. پس از چند لحظه همه‌چیز متوقف شده و صفحه سیاه می‌شود. این افراد در واقع در یک محیط مجازی مشغول صحبت کردن با یکدیگر بودند؛ اما چه اتفاقی رخ داد؟ چرا ناگهان صفحه سیاه شد؟ احتمالاً یک حمله‌ی اختلال سرویس توزیع شده (DDOS) رخ داده است.

در یک حمله اختلال سرویس توزیع شده می‌توان شبکه را با تزریق حجم بالایی از داده‌های غیر مرتبط تحت تأثیر قرار داد. به همین دلیل در تجربه‌ی نهایی استفاده از واقعیت مجازی اختلال ایجاد می‌شود. به علاوه در یک حمله‌ی سایبری به این ابزارها می‌توان با دست‌کاری محتوای به نمایش گذاشته شده، کاری کرد که افراد از نظر جسمی احساس بیماری و ضعف کنند؛ زیرا در حال حاضر تحقیقات نشان می‌دهد استفاده‌ی مداوم از هدست‌های واقعیت مجازی ممکن است به سردردهای شدید یا ضعف‌های بدنی منجر شود.

جعل هویت:
به کمک هدست‌های واقعیت مجازی و افزوده می‌توان روی داده‌های مربوط به ژست‌های حرکتی یا الگوهای صوتی و گفتاری افراد نظارت کرد. یک مهاجم می‌تواند با کمک این اطلاعات اقدام به جعل هویت کرده و با اطرافیان قربانی ارتباطات برقرار کند یا حتی به انجام فعالیت‌های غیرقانونی بپردازد.

اقدامات امنیت سایبری:

2 فناوری واقعیت مجازی و افزوده هنوز در حد قابل‌توجهی مورد پذیرش قرار نگرفته‌اند. از طرفی هیچ‌یک از سناریوهای بالا نیز تاکنون رخ نداده‌اند؛ اما بهتر است پیش از تجربه‌ی شرایط بالا، مسائل امنیتی و ایمنی آن موردبررسی قرار گرفته، راه‌کارهایی برای آن ارائه شود.

در ادامه تعدادی از راه‌کارهای امنیت سایبری که متخصصان به شرکت‌ها پیشنهاد داده‌اند تا بتوانند به واسطه‌ی آن‌ها از خود محافظت کنند، ذکر شده است:

• همه‌ی ابزارهای واقعیت مجازی و واقعیت افزوده باید در یک برنامه‌ی منظم از نظر امنیتی موردبررسی قرار گیرند.

• پیش از جمع‌آوری داده‌های کاربران هدست‌ها، از آن‌ها اجازه بگیرند.

• بر روی همه‌ی دستگاه‌ها و حتی نقاط تماس روش‌های امنیتی مختلف گسترش داده شود.

• هنگام برقراری ارتباط میان ابزارهای واقعیت مجازی یا واقعیت افزوده، از شیوه‌های احراز هویت مناسب بهره گرفته شود.

در حال حاضر شرکت‌های تولیدکننده به منظور حضور در بازار رقابتی موجود و پیروزی در آن، به مسائل امنیتی توجه نمی‌کنند. آن‌ها احتمالاً هرگز به این مسئله فکر نکرده‌اند که چنین ابزارهایی نیز ممکن است روزی باعث ایجاد ویرانی‌های گسترده شوند.

با وجود این شرکت‌های فعال در حوزه‌های یاد شده باید بیشتر از گذشته خطرات امنیتی را تجزیه‌وتحلیل کرده و راه‌کارهای مناسبی را به منظور مقابله با هکرها ارائه بدهند. در غیر این صورت در آینده‌ی نزدیک، حوادثی مانند نمونه‌های یاد شده در بالا رخ خواهند داد.