美国加州大学伯克利分校的最新论文表明，如果没有创新的新保障措施来保护用户，元宇宙中也许将没有隐私可言。 这项在负责任去中心化智能中心（RDI）进行的研究由研究员Vivek Nair带领，重点关注用户在虚拟现实（VR）中的最大交互数据集，是否如以往分析认定的存在隐私风险。 结果令人惊讶，研究发现只需要最基础的数据，即可实现对元宇宙内用户身份的识别，可以说是消除了在虚拟环境中保持匿名的可能性。 运动数据看似简单但并不简单 大多数元宇宙隐私研究人员和政策制定者，都将注意力集中在现代VR头显及其摄像头/麦克风上。这些摄像头和麦克风能够捕捉用户面部特征、声纹及眼动等信息，同时也会记录下关于用户住宅或办公室中的环境情况。 部分研究人员甚至担心，能通过头皮检测大脑活动的干式脑电图（EEG）传感器等新兴技术也会构成威胁。尽管这些丰富的数据流确实会在元宇宙中构成严重的隐私风险，但即使将其全部关闭，恐怕仍无法保障用户匿名性。 这是因为与虚拟世界交互所需的最基本数据流（即简单运动数据），可能足以从大量人群中识别出特定某一用户。 所谓“简单运动数据”，也就是虚拟现实系统所跟踪的三项基础数据点：用户的头戴、左手与右手数据点。研究人员一般将其统称为“遥测数据”，它表示允许用户在虚拟环境中进行自然交互所需要的最小数据集。 百秒内即可确定唯一身份 下面来看伯克利发表的最新研究，《通过头和手部运动数据对5万多名虚拟现实用户进行身份识别》（Unique Identification of 50,000-plus Virtual Reality Users from Head and Hand Motion Data）。该研究分析了流行应用Beat Saber的5万名参与者留下的250万条VR数据记录（完全匿名化）。结果发现，只使用短短100秒内的运动数据，即可获得超过94%的用户身份识别精度。 更令人惊讶的是，就算运动数据只有短短2秒，仍可将身份识别精度维持在50%左右。达到这样的准确性需要创新AI技术的加持，但可以看到这里使用的数据非常稀疏。随时间推移，未来识别用户身份也许只需要3个空间点。 换句话说，每当用户戴上混合现实头显、握住两只标准控制器，开始在虚拟或增强世界中进行交互之时，都会留下一系列可反映其身份的数字指纹。这就引出了新的问题：这些数字指纹与身份识别间的对应关系，跟真实世界中的指纹相比是高是低？ 相信大家都听过所谓“世界上没有两个指纹是相同的”这种说法。也许是对的，但其实并不重要。指纹的真正意义，在于以一定的精度通过犯罪现场或扫描元件处捕捉到的指纹识别出对方身份。事实证明，无论是物理采集还是设备扫描，获得的指纹信息并不像我们认为的那么唯一。 我们可以考虑一下指纹扫描元件的工作方式。根据美国国家标准技术研究所（NIST）的规定，指纹扫描装置只要达到特定的匹配精度基准——即从10万人中识别出1人，就算是切实有效。 也就是说，NIST等机构的实际测试发现，大多数指纹扫描装备的实际准确率可能低于1/1500。尽管如此，这已经足够把偷手机的贼或者意外接触到设备的其他人挡在门外了。 匿名性不存在 另一方面，伯克利的研究表明，当VR用户挥动虚拟刀劈砍飞来的物体时，留下的运动数据可能比真实世界中的指纹更具身份识别能力。 这构成了严重的隐私风险，甚至可能彻底消灭在元宇宙中保持匿名的可能性。此外，还可以使用这些运动数据准确推断出关于用户的一系列个人特征，包括其身高、惯用手和性别。 在与虚拟和增强环境中经常被追踪记录的其他数据相结合后，这种基于运动的“指纹采集”方法将获得更高的精度。 运动数据是元宇宙的基础 针对此事，笔者邀请论文作者Nair对传统指纹和虚拟/增强环境下的运动数据这一“数字指纹”做出比较。 他这样描述相关风险，“在虚拟世界中四处走动时，基础运动数据会一刻不停地保持实时传输；这就像是在浏览传统互联网时，把自己的指纹随时共享给所访问的各个网站。其中的区别在于，网络浏览并不需要共享指纹，但运动数据流却是当前元宇宙环境的实现基础。” 为了真正理解这种基于动作的“数字指纹”中存在多大隐患，我们不妨假想这样的场景：未来用户会经常在虚拟和增强环境中购物。到那时，我们可能会在虚拟门店中浏览产品，也可能是在自己的居所内通过混合现实眼镜把新家具投射在真实的物理背景上。 伯克利的研究表明，这些常见动作对于每位用户都如同指纹一样独特。如果真是如此，我们也许可以将其称为“动作指纹”，就是说休闲购物者将无法在保持匿名的情况下访问虚拟门店。 那么，我们要如何解决这个固有的隐私问题？ 一种方法是在采集结果从用户硬件传往任何外部服务器之前，对运动数据作模糊化处理。遗憾的是，这意味着引入噪音，即在保护用户隐私的同时也降低身份运动的精度和灵活性，最终损害用户在各类虚拟现实应用中的体验。对很多人来说，用体验来换取匿名性可能并不值得。 另一种办法是制定合理的法规，防止元宇宙平台随时间推移不断存储和分析人类运动数据。这样的法规有助于保护公众，但执行起来很困难并可能引发行业倒退。 出于这些原因，伯克利的研究人员们正在探索更复杂的防御技术，希望借此掩盖物理运动中的独特特征，同时不影响用户在虚拟和增强世界中的灵活性。 笔者仍然贯彻长久以来的消费者保护理念，强烈建议并行探索所有方法，包括技术和政策等多种思路。 对个人隐私的保护不仅是用户的头等大事，也将决定整个行业的未来命运。毕竟如果用户无法安全放心地使用元宇宙，就不可能接受虚拟与增强环境成为其数字生活中的重要组成部分。 转自 安全内参，原文链接：https://mp.weixin.qq.com/s/2kq57ffECmeuFP9KxMzGxQ 封面来源于网络，如有侵权请联系删除

随着成熟和新兴的面向消费者的恶意网络攻击增加，企业安全团队在 2023 年需要应对的许多挑战。 卡巴斯基的研究人员着眼于2023年网络攻击格局可能发生的演变，预计攻击者将扩大使用他们当前的许多策略，同时通过社交媒体、流媒体服务和在线游戏平台探索新的攻击路径。 对于企业管理员来说，品牌扩展到元宇宙世界（互联网上普遍和身临其境的虚拟世界）可能会使他们受到攻击。在远程工作和自带设备 (BYOD) 时代，任何消费者威胁都可能是企业威胁，因此 IT 安全团队最好紧跟互联网趋势提前做好预案。 网络攻击将增加 有安全厂商预计，网络犯罪分子将继续利用消费者对在线流媒体服务兴趣大增的机会，分发恶意软件、窃取数据和执行其他恶意活动。 许多攻击的目标是寻找下载合法流媒体应用程序或某一集节目的替代来源的人。卡巴斯基表示，期待看到网络犯罪分子利用广受期待的标题和流媒体服务提供商的名称，如Netflix、Hulu和Amazon Prime Video作为诱饵，让用户下载恶意软件或将他们引向钓鱼网站。 消费者还将面临更多的游戏订阅欺诈和涉及在线货币和人工制品的诈骗。攻击者将主要针对那些使用货币并允许出售游戏内物品和加速器的游戏，因为它们给攻击者提供了从其他非法活动中获得的资金的途径。 在今年早些时候的一份报告中，Equifax旗下的欺诈保护服务机构Kount也指出，在线货币为对手洗钱和进行支付卡欺诈提供了大量的机会。”例如，欺诈者为一个在线多人游戏创建一个免费账户，然后用偷来的信用卡将游戏中的货币和皮肤填满账户，”Kount研究人员指出，”一旦账户被填满，欺诈者就在交易网站上出售，”价格在几百到几千美元之间。 卡巴斯基预计，攻击者还将试图利用流行游戏机供应的持续短缺，通过虚假的预售优惠，以及声称销售游戏官方商店的欺诈性赠品和折扣。 新的攻击途径 卡巴斯基表示，与此同时，元空间、在线教育平台和某些类别的健康相关应用程序都将成为2023年的新攻击途径。 卡巴斯基预测说，隐私将成为元空间的一个主要问题。”卡巴斯基说：”由于元空间的体验是普遍的，不遵守地区性的数据保护法，如GDPR，这可能会在有关数据泄露通知的法规要求之间产生复杂的冲突。 其他人也对在完全沉浸式环境中通过VR头盔及其收集的摄像头、麦克风和运动追踪器收集的个人信息数量增加表示担忧。许多人预计，这些数据将揭示很多关于用户的位置、外观和其他私人信息，同时也使攻击者能够进行更复杂的网络钓鱼和社会工程诈骗。 卡巴斯基说：”尽管技术公司努力在元空间中建立保护机制，但 “虚拟虐待和性侵犯将蔓延到元空间”。”由于没有具体的监管或节制规则，这种可怕的趋势可能会跟随我们到2023年。” 元空间是与过去几年不同的领域。卡巴斯基的安全专家安娜-拉金娜说：假的、恶意的VR和AR应用程序，以及与这个新领域有关的隐私风险和潜在的风险，是我们以前都未曾遇到过的。 拉金娜说，某些类型的应用程序，例如那些与冥想有关的应用程序或那些消费者可能提供他们当前情绪状态的app，可能成为另一个新的攻击途径。 在这些应用中，你表明你当前的状态、情绪，然后他们为你选择合适的选项，这样的数据可以很容易地被收集和存储，以便跟踪用户的状态。她指出，一个获得此类数据的攻击者可以以高度针对性的方式成功执行鱼叉式网络钓鱼和社会工程诈骗。 拉金娜说，针对消费者的攻击应该引起企业安全团队的重视，对于潜在的危险应该提前做好准备。保证系统在技术上的足够安全。 转自 Freebuf，原文链接：https://www.freebuf.com/news/351133.html 封面来源于网络，如有侵权请联系删除