深度長文：虛擬現實與增強現實帶來全新的安全挑戰

編譯/導讀：張珂

試想，當醫生正在對創傷應激綜合症患者進行虛擬現實治療時，患者頭戴設備的屏幕上突然出現不知從何而來，異常恐怖的畫面；

當你在家中興緻盎然、輕鬆愜意地對公司的新建築模型進行遠程3D虛擬調試時，有人已經悄悄修改了設計參數；

或者當你帶著虛擬現實設備遠程看房時，有人已經竊取了你的重要數據……沒錯，這正是與虛擬現實、增強現實時代如影隨行的網路安全問題。

哪裡有網路，哪裡就有黑客。在虛擬現實與增強現實日益走進主流的同時，網路攻擊手段同樣在更新、升級，並借著這一新的計算平台大肆破壞。這是一個新的重要課題，讓我們重新思考互聯網、物聯網與數據安全，同時也值得監管者、廠商、商業應用部門與消費者提升關注。

當然，任何的新問題，在創新者看來，都是新機會。眾多公司就正在圍繞這些新問題開發新產品，以保衛虛擬現實世界之安全。

註：本文由資本實驗室編譯，文章來自alleywatch.com，作者Samantha Donaldson。

過去幾年中，儘管許多遊戲與娛樂平台已經開發出了琳琅滿目的虛擬現實（以下簡稱VR）內容，但VR的應用遠不止單一的遊戲行業。事實上，VR技術在IT領域的影響，足以證明該技術能夠在商業和技術行業中得到有效而持續的應用。

儘管虛擬現實和增強現實涉及的專業公司名單堪稱完美，但網路和數據安全問題仍然存在。據相關報告顯示，2016年，數據泄露事件增加了40%，其中45%的泄密發生在商業部門。通常情況下，VR設備都缺少強大的安全系統，現代黑客可以從這些設備入手，黑入相關平台，從而對企業、政府部門甚至消費者造成嚴重損失。

然而，每發生一起新的數據入侵事件，就會有一家公司崛起，並給出相應的解決方案，以便使這種技術更為安全。此外，很多公司已經開始利用隱寫術（Steganography）和SpatialOS等方式來防止而不是打擊網路安全攻擊，結果不僅是積極的，而且正在改變我們整體上看待互聯網和技術的方式。

一、IT、設計與開發中的虛擬與混合現實

在過去幾年中，隨著第一個虛擬現實原型產品發布，科技公司和消費者就一直難掩其興奮的情緒和對產品的需求。據研究公司SuperData的報告顯示，2016年，全球VR頭顯設備銷量達630萬台；另據Digi-Capital報告，虛擬現實領域的投資已經超過二十億美元。

虛擬現實在商業中的影響已經非常廣泛，從3D建模、測試到3-DAT數據分析，公司可以使用3D虛擬技術來進行財務和業務數據評估。然而，虛擬現實和增強現實的未來前景，遠遠超出了其原有控制設備的設定。

例如，通過使用CAVE觸感手套及沉浸式系統，如西班牙公司Neurodigital Technologies開發的虛擬現實手套Gloveone，以及HTC VIVE等動作捕捉設備，你不僅可以測試和操縱模型、產品和建築設計，而且還具有真實的觸感反饋，就像真實物體一樣。

此外，英國華威大學物理研究員Richard Wellard創建了一家名為3-DAT的研究公司，致力於幫助企業減少趨勢分析的時間，並使用三維數據找到改進其業務模式的方法。這種3D技術可用於跟蹤IT組合管理和業務模式改進的數據，並可幫助企業的IT部門輕鬆審查大量數據。

作為華威大學研究團隊的一部分，負責帶電粒子在近地空間中三維路徑分析項目，Wellard發現利用3D技術進行數據分析減少了編譯和分析的時間，是非常有效的一種方法。

因此，他創建了虛擬現實3D數據建模公司，致力於基於虛擬平台的數據分析工作，使公司能夠以更高效和更互動的方式實時查看其業務數據，並制定多項改進計劃。 然而，即使集成了RESTful API的FileMaker、IBM的Watson Analytics、Linux的R或ROOT工具等軟體，也可以將你的業務中正在使用的程序集成到虛擬平台中，從而更好地分析。

企業應用虛擬現實技術的另一種應用是將虛擬現實技術接入網頁設計工具中，使網頁設計過程的交互性更強、更加易用。一些人預測這可能意味著未來幾十年對頁面設計師的需求將下降。這個市場目前還很小，如果未來能夠形成更有衝擊力的設計形式，將它整合到公司的網頁設計部門中，將會獲得更大的優勢。

通過使用JavaScript的API、WebVR等虛擬現實設計工具，並且在Mozilla的MozVR中查看虛擬現實設計的一些方法，你將可以開始在Oculus Rift、HTC Vive和Google Cardboard等多個平台上學習VR設計。

然而，只要與任何具有低安全標準的設備連接，身份竊取和數據泄露的威脅就仍然存在。隨著630萬VR頭顯設備連接到物聯網，大規模惡意軟體感染並滲透這些頭顯的個人數據的可能性是巨大的，這些VR和IT公司在未來十年所採取的行動將直接影響其消費者、企業和政府部門的安全。

二、虛擬現實、增強現實、物聯網——它們安全嗎？

隨著對虛擬現實應用的需求日益增加，有些公司為了能夠領先競爭對手，選擇繞過那些隱私和安全標準，使VR設備在連接到物聯網或其它程序時存在風險。

關於導致安全問題的供求問題，美國職業足球賽事VR內容提供方Laduma公司的CEO Ben Smith表示：「為了領先競爭對手，而將新技術快速推入市場，會存在一定的犯錯風險。」在過去幾年中，AR/VR在市場備受歡迎，面對2016年龐大的市場需求，公司要麼被迫將存在一定安全風險的產品投入市場，要麼放棄這塊市場。

毫無疑問，通過多種不安全設備接入互聯網，為黑客提供了一個獲取各種數據的機會。黑客可以從VR平台獲取用戶自己提交的數據，也可以收集未經同意的用於商業營銷的數據。事實上，Tata通訊公司的Srinivasan CR曾經說過，「連接到網路中的每個設備都存在潛在的漏洞，可以用來滲透網路本身和與其相連接的其它設備。」

當去年三月Oculus Rift發布時，他們的協議條款表示，他們不僅會獲取用戶的基本信息，還會搜集更多的個人信息，如用戶的電子郵件、職業、出生日期和居住地點，根據其位置、人口和興趣，針對這些人建立營銷分析。 此外，Oculus Rift還會對用戶的在線交易、網路和APP使用情況進行跟蹤，以便公司進行定向性的營銷活動，包括你想要購買的或需要的東西。

然而，雖然該公司聲稱已經部署了大量的安全措施，但是這些用戶數據收集與連接到伺服器的缺乏安全防範的設備大量向身份竊賊、數據操縱者、視覺恐怖主義和網路釣魚等黑客敞開。

使用增強現實遊戲（如Pokemon Go）或混合現實技術（如Dan Gottlieb）進行創作時，必須要對用戶位置進行定位。當使用安全標準較低的VR設備時，會對個人用戶構成威脅。黑客會從VR設備入手追蹤你，對你進行攻擊（如吸引Pokemon Go玩家進入小巷並實施搶劫），或者發現你經常訪問的銀行和其它位置，從而竊取你更多的個人信息。

最後，諸如OpenSimulator Metaverse的HyperGrid和內容分發網路（CDN）等應用程序是黑客已經開始攻擊VR用戶及其個人信息的另一種方式。 特別是通過超鏈接與各種VR設備連接，這些鏈接通常都是不安全的，黑客可以滲透這些設備並獲取他們需要的數據。

自從E3遊戲展會允許各公司使用基於地理位置的分散式伺服器向消費者提供與VR兼容的視頻內容，CDN就在VR世界中佔據一席之地。然而，過去幾年裡，DDoS CDN攻擊持續上升，黑客已經找到新方法滲透這些CDN的防火牆，進行不停的循環攻擊。基於這種方法，利用VR中的CDN可能會導致無數設備被感染，並形成一個殭屍網路，導致無數消費者的個人數據遭到泄露和失竊。

三、視覺恐怖主義、殭屍網路、面部識別與網路釣魚

VR方面的身份盜用是相對簡單的，視覺恐怖主義、殭屍網路、面部識別和網路釣魚都是稍微比較保守的方式，黑客們已經從VR中獲取好處。儘管許多消費者不知道這些惡意的網路攻擊形式及其運作方式，但是它們對全球的VR用戶和公司仍然構成嚴重的威脅。

特別是視覺恐怖主義備受多個國家關注，因為它可以加劇一個人使用VR的負面影響，如頭暈、噁心、肌肉抽搐、視力模糊、頭痛和癲癇發作。黑客通過入侵沒有安全保護的設備並傳播惡意軟體，可以產生響亮的閃爍、炫目的色彩或旋轉的屏幕，從而對VR用戶造成大量視覺攻擊，甚至會導致消費者死亡。

此外，北卡羅來納大學的一組研究人員最近發現了一種可以繞過現代人臉識別，在VR設備屏幕上合成人臉的新驗證方式。過去，人臉識別系統在很多地方被使用，包括移動支付和大公司的重要數據安全防範措施，但這些識別軟體可能很容易被屏幕上使用的圖片所迷惑。當前，這些設備集中在人臉和皮膚紋理上的近80個不同的節點，以更複雜的方式分析人臉。

儘管如此，北卡羅來納大學可以從每個被測試者的個人社交網路帳戶中獲取幾張照片，並創建高精度的3D模型，然後將其顯示在VR設備的屏幕上，並通過相機裝置尋求實現面部識別。在測試時，所有被測試的五個應用程序都不知道真實的人臉和3D模型之間的區別，這為公司和消費者帶來了另一個非常規的、非常可怕的安全威脅。

同樣，網路釣魚也是黑客進行惡意攻擊的另一種方法。黑客通過創造虛假身份，以誘騙他人進行他們通常不會做的事情。例如，黑客進入VR設備並使用假的虛擬對象或偽裝成系統更新，消費者可能會無意間將木馬部署到網路中或者將其密碼泄漏給黑客，導致黑客輕鬆入侵，從雲端操縱數據。

另一個威脅是殭屍網路的惡意病毒，特別是去年發生的物聯網病毒感染，如Mirai病毒通過物聯網設備進行大量的DDoS攻擊。該惡意軟體使用一張近60個常見的出廠默認用戶名和密碼為目標的安全標準較低的設備列表，從而繞過反DOS軟體，監視並控制伺服器設備。

與BASHLITE惡意軟體一樣，去年9月，Mirai病毒攻擊了安全研究機構Biran Krebs的網站，攻擊強度創紀錄的達到了665 G，但這遠不及該病毒對物聯網設備造成的攻擊。在攻擊安全研究機構Biran Krebs后的一個月，10月份，該病毒將其在Krebs攻擊中感染的網路攝像頭和一些新感染的設備接入到網路中，形成更多的設備感染，並對美國DNS服務提供商Dyn進行攻擊，導致包括Github、Twitter、Spotify、Reddit、Netflix等多個大型網站無法訪問。

這次攻擊創造了一個新紀錄，攻擊強度高達1.2T。對此，英國半導體知識產權提供商ARM公司的CEO Simon Segars表示：「如果你是構建IoT產品的設備製造商，你真的應該擔心固件的更新。」事實上，ARM已經開發出物聯網設備管理解決方案Mbed Clou，以幫助企業更新設備晶元，並定製操作系統，以防止諸如針對Dyn和Krebs的DDoS攻擊。

除此之外，其他多家公司已經開始防範殭屍網路安全問題，非常認真地部署了新的設備和程序，以防止數據入侵和DDoS攻擊。特別是今年1月23日成立的Securifi公司致力於幫助IT專業人士利用VR技術或檢索數據為公司創建專門針對殭屍網路的家用設備，以避免安全性較差的家用設備受到黑客的影響。

四、Mirai病毒對我們的啟示

IT專業人士，以及Dyn和KrebsOnSecurity公司通過分析Mirai攻擊，確定問題的關鍵在於：攻擊主要來自安全性較差的網路攝像頭和DVR。這表明，安全性較差的家用設備是Mirai病毒攻擊的目標。也就是說，除了缺乏安全措施的VR設備之外，由於普通消費者一般不重視網路安全，經常使用弱密碼或默認設置，極易引起惡意病毒的攻擊，如Mirai病毒進行的DDoS攻擊。

事實上，多家公司聲稱，這種攻擊證明，在2017年，人工智慧在安全性較差的電子設備（如VR設備和手機）中的使用無疑將成為下一個受到惡意軟體和黑客攻擊的系統。儘管像T-Mobile、Oculus和Sony等公司承諾在未來幾年內提供更高的安全標準，T-Mobile也正在對他們的4G LTE網路採取措施，以確保雲安全，這個問題現在仍然很普遍，其影響可能會導致嚴重的數據泄漏。

在這個問題上，Positive Technology公司的Alex Matthews甚至表示：「人工智慧也許是最危險的VR網路攻擊對象。人工智慧的安全檢查是一件非常艱巨的任務，因為其行為和反應的範圍非常廣泛。」 就此而言，無需多想，可以假設2017年將是VR數據泄露的一年，而與之鬥爭的公司將繼續幫助企業利用虛擬現實系統，而不用擔心在此過程中成為數據入侵的受害者，從而延續VR技術的擴展及其盈利能力。

同樣，在網路安全機構Krebs遭到攻擊后，Brian Krebs表示：「互聯網將很快充斥著各種攻擊。」儘管這是種看似相當悲觀的看法，但是Krebs和無數其他IT專業人士所看到的：連接到安全性較差的設備對物聯網的不利影響並不遙遠。通過對這兩次攻擊的數據分析，並學會如何避免攻擊，我們可以確保數百萬VR用戶，包括利用這種新技術進行數據分析的無數專業設備，不會成為黑客和殭屍網路的下一個目標。

五、使用SpatialOS、隱寫術、雲安全、殭屍網路、IoT安全以及負載平衡來促進數據安全

隨著數據安全成為VR技術接入物聯網的一個問題，很多公司都看到了VR技術對數據分析、3D建模造成的不可估量的影響。安全和不安全設備間的差距也是各公司都必須要正確選擇和面對的。例如，當兩名英國政府代表來到虛擬模擬公司Improbable，以使用SpatialOS軟體創建一個網路3D模型，Improbable就獲得了某種認可。

通過使用SpatialOS，能夠大規模地展示邊界網關協議（BGP）的動態模型，並研究各種弱點，以確定黑客可能會攻擊或正在攻擊的位置，並可以在問題出現之前，防止多種數據泄露。這種3D建模的形式是一種令人印象深刻且非常有用的工具，政府可以用來監管那些安全性較差的設備及其供應商。

此外，隨著眾多公司追趕VR潮流，在家中從虛擬模型中遠程訪問工作數據或使用3D技術對產品進行測試正在成為黑客攻擊安全性較差的VR設備，並獲取全球各地公司敏感信息的另一種方式。因此，在共享到VR的文件（如音頻或視頻）中使用隱寫術，正在慢慢成為一種更常見的方式。

隨著眾多VR設備連接到雲端，並成為物聯網的一部分，很多企業已經試圖針對雲安全的弱點，以保護這些連接設備。然而，由於產生的數據量非常大，有些人則認為，使用PCI DSS安全標準和數據匿名化技術是應對數據安全問題的唯一希望。

例如，通過使用PCI DSS數據安全標準，他們傾向專註於構建雲安全以及CDN安全性，同時通過負載平衡來增加併發用戶和應用程序的可靠性。英國提塞德大學的Joao Ferreira是數據匿名化的堅定支持者，他甚至在過去表示：「需要新的數據匿名化技術，以便VR設備在收集新數據時不需要識別其原始生產者。」

防止殭屍網路的物聯網安全技術也正在慢慢崛起。如F-Secure和諾頓這樣的老牌殺毒軟體廠商，已經開發出相關設備，用於防止你的家庭和辦公室被黑客入侵，同時也支持物聯網和雲安全。通過在辦公室的VR設備中使用這些防範措施，公司可以確保VR設備的安全性。

毫不奇怪，令人難以置信的虛擬現實和增強現實設備正在成為未來技術商業應用的鋪路磚。然而，知道你要去哪裡，並確保在此過程中保持安全，你就可以繼續前進，而不會因為數據泄露對你的業務造成嚴重後果。

有種說法，未來即現在，虛擬現實終將成為現實。虛擬現實對互聯網、對網路安全、對我們生活的影響，每一天都在擴大。