在VR中不经意的瞬间,你的隐私早已“门庭大开”

🤖 由 文心大模型 生成的文章摘要

对于网络安全领域的佼佼者来说,所有的联网设备都是不安全的,有这么一则戏言:“我们的眼中只有两种人:知道自己被黑的人和没有意识到自己被黑的人。”

McCauley作为Oculus VR的联合创始人,涉及了整个项目的kickstarter众筹和Oculus DK1的开发,得知Oculus被Facebook收购后不久,兢兢业业工作了两年的McCauley还是毅然离开了团队。我们未能知道Oculus内部产生了什么纠纷,不过Facebook对于Oculus的影响正在持续发酵,特别是在用户隐私方面。

此前DigitalTrends的报道就提出,一旦Oculus rift暴露在互联网中,设备就会开启一个持续向Facebook服务器传递数据的进程,即便是关闭Oculus rift也无济于事。而当我们反编译Oculus Home的代码时,还能发现一些更为有趣的东西。

Oculus Home的代码片段中,有很多做到一半就被急忙封包的痕迹。根据判断,与用户隐私有关的功能包括,“站立探测器(standing Detector)”,“截屏(Print Screen)”和“监护系统(chaperone)”,逐一分析就能发现他们的不同作用。

·“站立探测器”允许Oculus Home记录用户使用设备时的动作,介于Oculus Rift目前还不涉及大幅度的移动,代码暂时只具备侦测站立与坐下(蹲下)的功能。不过,在设备更加完善的情况下,用户的行为习惯将被一览无余。

·“截屏”功能的本意是使佩戴者在体验VR时能够随时保存喜爱的场景图片,怀揣恶意的评价它似乎有些不大公道,但是,它反过来确实可以被服务端加以利用,从而判断用户正在观看什么内容。

·“监护人”这个功能目前还没有坐实的信息可以判断它的具体用途,只知道这段代码是某个守护者系统版本,随着Oculus的迭代,应该会有新的东西加入进去。

然而,即便是Facebook决意要分析这些隐私数据我们也无计可施,Oculus Rift的隐私条款里都写得清清楚楚:游戏、APPs、IP地址这些内容他们全都有权收集,一旦开始使用Oculus Rift,就等于同意了这些条款。

需要提及的是,在Oculus Home的代码中也有一些善意的存在,比如能够开启多人游戏的“社交房间”,一个评星的“打分系统”,还有一段键盘的支持代码,只是都还未实现。

如果Facebook只是收取保护费的黑手党,那么专搞破坏的黑客就是在你背后捅刀子的地痞流氓,攻破VR设备的技术手段其实早已成熟,和破解普通的电子设备没有太多不同。

早前美国哥伦比亚电视台的一档节目中,安全实验室的Karsten Nohl就联合计算机科学博士Nohl在众目睽睽之下成功的监听了国会议员Ted Lieu的手机,而他们只是简单的得知了Ted Lieu的手机号码。

基于VR设备的特性,在正规商业利用上,头显的动作捕捉器完全可以将用户的行为模式记录在案,然后根据你所使用的软体来判断体验者的个人喜好,以便定时的向你推送不同的广告来获得收益。而在充满利益的灰色地带,别有用心的人将得到你与设备联动的真实个人信息,以便在头显的软件中嵌入与你相关的恶意程序,甚至翻阅你的付费清单,从而达到窃取银行账号的目的。

不过,当前很多信息的窃取手段还比较初级,Karsten Noh表示他们利用的SS7(公共通信网络中国际通用标准七号信令系统)漏洞是触犯国家安全法的,大多数黑客还是不敢尝试。