La realidad virtual y la realidad aumentada son recursos tecnológicos en auge. Es cosa de ver cuántos avances han surgido en el último tiempo y cómo estos han logrado penetrar en el mercado.
Investigadores de la Universidad de Rutgers-New Brunswick publicaron un informe en el que se explora cómo las funciones de comando de voz integradas en los auriculares de realidad virtual podrían conducir a grandes fugas de privacidad, conocidas como «ataques de escucha».
Riesgos de seguridad asociados al uso de cascos de realidad virtual
La investigación, titulada «Face-Mic», muestra que los hackers podrían usar los hoy populares cascos de realidad virtual o aumentada con sensores de movimiento incorporados, para grabar dinámicas faciales sutiles asociadas al habla y así robar información confidencial comunicada a través de comandos de voz, incluidos datos de tarjetas de crédito y contraseñas.
Para demostrar la existencia de vulnerabilidades de seguridad, los investigadores de Rugters desarrollaron un ataque de escucha dirigido a auriculares de realidad aumentada o virtual, conocido como «Face-Mic».
«Face-Mic es el primer trabajo que infiere información privada y confidencial al aprovechar la dinámica facial asociada con el habla humana en vivo mientras se usan dispositivos AR / VR montados en la cara», dijo Yingying Chen, investigadora principal de este estudio, en conversación con Rugters. «Nuestra investigación demuestra que Face-Mic puede derivar la información confidencial del usuario de los auriculares con cuatro cascos convencionales, incluidos los más populares: Oculus Quest y HTC Vive Pro».
Los investigadores estudiaron tres tipos de vibraciones capturadas por los sensores de movimiento de los cascos, contemplando incluso los movimientos faciales asociados al habla, las vibraciones transmitidas por los huesos y las vibraciones en el aire. Chen señaló que particularmente las vibraciones transmitidas por los huesos, resultan ricamente codificadas con información detallada sobre género, identidad y habla.
«Al analizar la dinámica facial capturada con los sensores de movimiento, descubrimos que tanto los auriculares de cartón como los auriculares de gama alta sufren vulnerabilidades de seguridad, revelando la información sensible del habla y el altavoz de un usuario sin permiso», dijo Chen.
A pesar de que, por parte de los fabricantes de estos dispositivos, se ofrece como garantía de seguridad una serie de políticas con respecto al uso de las funciones de voz con sus micrófonos integrados, la investigación liderada por Chen detectó que los sensores de movimiento incorporados, como un acelerómetro y un giroscopio dentro de un auricular VR, no requieren ningún permiso para acceder. Esta brecha de seguridad puede ser explotada por actores maliciosos que intentan cometer ataques de espionaje.
La exposición de la que es objeto un usuario de estos dispositivos puede llegar a comprometer información confidencial, en caso de transmitirse por este medio. Esto puede incluir contraseñas, números de tarjeta de crédito o cualquier otro dato que en manos equivocadas podría ser objeto de alguna acción fraudulenta.
Chen dijo que una vez que un usuario ha sido identificado por un hacker, un ataque de escucha puede conducir a una mayor exposición de la información confidencial y el estilo de vida del usuario, como los historiales de conexión con entornos de realidad virtual o aumentada, así como sus preferencias de juegos, vídeos y compras.
Este nivel de seguimiento es una amenaza para la privacidad de los usuarios y a la vez, una opción atractiva y lucrativa para el negocio publicitario. Por lo mismo, Chen declaró que espera aumentar la conciencia del público en general sobre las vulnerabilidades de estos dispositivos y a la vez, que incentiven a los fabricantes a enfatizar la seguridad.
«Dados nuestros hallazgos, los fabricantes de auriculares VR deben considerar medidas de seguridad adicionales, como agregar materiales dúctiles en la cubierta de reemplazo de espuma y la diadema, lo que puede atenuar las vibraciones faciales asociadas al habla que serían capturadas por el acelerómetro / giroscopio incorporado», comentó.
El equipo de investigación liderado por Chen continúa trabajando en esta área. Sus siguientes pasos son con examinar cómo la información de vibración facial puede autenticar a los usuarios y mejorar su seguridad. También, cómo los cascos de realidad aumentada o virtual pueden capturar la respiración y la frecuencia cardíaca de un usuario para medir el bienestar y los estados de ánimo discretamente.