Quali sono i rischi per la sicurezza e la privacy di VR e AR

Cosa sono la realtà aumentata (AR) e la realtà virtuale (VR)?

La realtà aumentata (AR, Augmented Reality) e la realtà virtuale (VR, Virtual Reality) sono strettamente correlate ma non sono la stessa cosa. La realtà aumentata migliora o "aumenta" il mondo reale aggiungendo elementi digitali (visivi, uditivi o sensoriali) a un'esperienza del mondo reale. Uno degli esempi più famosi di AR degli ultimi anni è stato il popolare gioco Pokémon Go.

Di converso, anziché aggiungersi al mondo esistente, la realtà virtuale crea il proprio ambiente cibernetico. La realtà virtuale viene solitamente sperimentata attraverso un'interfaccia, come un casco o visori, invece di guardare i contenuti su uno schermo.

La realtà mista (MR, Mixed Reality) è simile all'AR, ma va oltre proiettando contenuti digitali 3D che rispondono spazialmente all'ambiente circostante. Con la MR, gli utenti possono interagire e manipolare oggetti e ambienti sia fisici che virtuali, ad esempio una palla virtuale potrebbe rimbalzare su un tavolo o un muro reale.

Il termine generico per VR, AR e MR è realtà estesa (XR, eXtended Reality). Il mercato globale dell'hardware, del software e dei servizi XR segna crescite ogni anno. Ma il rapido aumento di queste tecnologie ha anche lasciato dubbiosi alcuni consumatori che hanno iniziato a farsi domande sui problemi di privacy e sicurezza.

Problemi di sicurezza e privacy della realtà aumentata

Preoccupazioni sulla AR

Uno dei maggiori pericoli percepiti della realtà aumentata riguarda la privacy. La privacy dell'utente è a rischio perché le tecnologie AR possono vedere quello che fa. L'AR raccoglie molte informazioni sull'identità dell'utente e su cosa sta facendo, in misura molto maggiore rispetto, ad esempio, ai social network o ad altre forme di tecnologia. Ciò solleva preoccupazioni e domande:

• Se gli hacker dovessero ottenere l'accesso a un dispositivo, la potenziale perdita di privacy sarebbe enorme.
• In che modo le aziende AR utilizzano e proteggono le informazioni raccolte sugli utenti?
• Dove archiviano i dati della realtà aumentata, localmente sul dispositivo oppure nel cloud? Se le informazioni vengono inviate a un cloud, sono criptate?
• Le aziende AR condividono questi dati con terze parti? Se sì, come li usano?

Contenuti inaffidabili

I browser AR facilitano il potenziamento dell'esperienza di immersione, ma i contenuti sono creati e distribuiti da fornitori e applicazioni di terze parti. Ciò solleva questioni di inaffidabilità poiché l'AR è un campo relativamente nuovo e i meccanismi di generazione e trasmissione di contenuti autenticati sono ancora in evoluzione. Hacker sofisticati potrebbero sostituire l'AR di un utente con una propria creazione, ingannando le persone o fornendo informazioni false.

Varie minacce informatiche possono rendere il contenuto inaffidabile anche se la fonte è autentica. Tra queste citiamo lo spoofing, lo sniffing e la manipolazione dei dati.

Social engineering

Data la potenziale inaffidabilità dei contenuti, i sistemi di realtà aumentata possono essere uno strumento efficace per ingannare gli utenti con attacchi di ingegneria sociale. Ad esempio, la percezione della realtà da parte degli utenti potrebbe essere distorta attraverso segnali fasulli per indurli a compiere azioni a vantaggio degli hacker.

Malware

Gli hacker AR possono incorporare contenuti dannosi nelle applicazioni tramite pubblicità. Gli utenti ignari potrebbero fare clic su annunci che conducono a siti Web in ostaggio o server AR infetti da malware che ospitano immagini inaffidabili, minando la sicurezza della AR.

Furto di credenziali di rete

I criminali possono rubare le credenziali di rete dai dispositivi indossabili dotati di sistema operativo Android. Per i rivenditori che utilizzano la realtà aumentata e le app di shopping in realtà virtuale, questi attacchi potrebbero rappresentare una minaccia. Molti clienti tengono i dettagli della carta di credito e le soluzioni di pagamento mobile registrati nei loro profili utente. Gli hacker possono accedere a questi dati e svuotare gli account silenziosamente poiché il pagamento mobile è una procedura immediata.

Denial of service

Un altro potenziale attacco alla sicurezza AR è la negazione del servizio o DoS (Denial of Service). Un esempio potrebbe coinvolgere gli utenti che si affidano all'AR per lavoro e che vengono improvvisamente tagliati fuori dal flusso di informazioni che stanno ricevendo. Ciò sarebbe particolarmente preoccupante per i professionisti che utilizzano questa tecnologia per svolgere compiti in situazioni critiche, dove il mancato accesso alle informazioni potrebbe condurre a gravi conseguenze. Un esempio potrebbe essere un chirurgo che perde improvvisamente l'accesso a informazioni vitali in tempo reale sui propri occhiali AR, o un conducente che perde improvvisamente di vista la strada perché il parabrezza AR si trasforma in uno schermo nero.

Attacchi Man-in-the-Middle

Gli aggressori in rete possono ascoltare le comunicazioni tra il browser AR, il provider AR, i proprietari dei canali AR e i server di terze parti. Questo può portare ad attacchi Man-in-the-Middle.

Ransomware

Gli hacker possono accedere al dispositivo di realtà aumentata di un utente e registrarne il comportamento e le interazioni dentro l'ambiente AR. Successivamente, potrebbero minacciare di rilasciare pubblicamente queste registrazioni a meno che l'utente non paghi un riscatto. La situazione potrebbe risultare imbarazzante o stressante per coloro che non vogliono vedere rese pubbliche le proprie esperienze di gioco o altre interazioni AR.

Danni fisici

Una delle vulnerabilità di sicurezza più significative per i dispositivi AR indossabili riguarda i danni fisici. Alcuni dispositivi indossabili sono più durevoli di altri, ma tutti i dispositivi presentano vulnerabilità fisiche. Mantenerli funzionali e sicuri, ad esempio evitando che qualcuno si allontani con un casco che può essere facilmente perso o rubato, è un aspetto di sicurezza essenziale.

Pericoli e problemi di sicurezza della realtà virtuale

Le minacce alla sicurezza della realtà virtuale sono leggermente diverse da quelle dell'AR poiché la realtà virtuale è limitata ad ambienti chiusi e non comporta interazioni con il mondo fisico reale. Indipendentemente da ciò, i caschi VR coprono l'intera visione dell'utente, il che può risultare pericoloso se gli hacker dovessero prendere il controllo sul dispositivo. Ad esempio, potrebbero manipolare i contenuti in modo da causare vertigini o nausea nell'utente.

Preoccupazioni sulla VR

Come per l'AR, la privacy è tra le principali preoccupazioni relative alla realtà virtuale. Un grande problema di privacy della realtà virtuale è la natura altamente personale dei dati raccolti, ovvero dati biometrici come scansioni dell'iride o della retina, impronte digitali, impronte di mani, geometria del viso e impronte vocali. Alcuni esempi sono:

• Tracciamento delle dita: nel mondo virtuale un utente può utilizzare i gesti delle mani come farebbe nel mondo reale, ad esempio per digitare un codice su una tastiera virtuale. Ciò implica che il sistema registra e trasmette i dati di rilevamento delle dita che digitano un PIN. Un utente malintenzionato che acquisisse tali dati sarebbe in grado di ricreare il PIN di un utente.
• Tracciamento oculare: alcuni visori VR e AR possono anche includere il tracciamento oculare. Questi dati potrebbero regalare un ulteriore vantaggio a utenti malintenzionati. Sapere esattamente cosa sta guardando un utente potrebbe rivelare informazioni preziose a un hacker malintenzionato che le può acquisire per ricreare le azioni dell'utente.

È quasi impossibile rendere anonimi i dati di tracciamento VR e AR perché gli individui hanno modelli di movimento unici. Utilizzando le informazioni comportamentali e biologiche raccolte nei visori VR, i ricercatori hanno dimostrato di poter identificare gli utenti con un grado di precisione molto elevato, dimostrando così un grande rischio qualora i sistemi VR venissero violati.

Proprio come i codici postali, gli indirizzi IP e le impronte vocali, i dati di tracciamento VR e AR dovrebbero essere considerati potenziali "informazioni di identificazione personale". Il motivo è che estranei possono utilizzarli per distinguere o tracciare l'identità di un individuo, a sé stanti o combinati con altre informazioni personali o identificative. Ciò rende la privacy della VR un motivo di grande preoccupazione.

Ransomware

Gli aggressori possono anche inserire funzionalità nelle piattaforme VR pensate per indurre in errore gli utenti a fornire informazioni personali. Come con l'AR, questo lascia campo aperto ad attacchi ransomware, cioè operazioni con cui personaggi malintenzionati sabotano le piattaforme per poi chiedere un riscatto.

Identità false o "deepfake"

Le tecnologie di apprendimento automatico consentono di manipolare voci e video tanto da farli sembrare filmati autentici. Se un hacker può accedere ai dati di rilevamento del movimento da un visore VR, può potenzialmente utilizzarlo per creare una replica digitale (anche nota come deepfake) e quindi minare la sicurezza della VR. Potrebbe quindi sovrapporre questa replica all'esperienza VR di qualcun altro per eseguire un attacco di ingegneria sociale.

A parte la sicurezza informatica, uno dei maggiori pericoli della realtà virtuale è che blocca completamente la connessione visiva e uditiva di un utente con il mondo esterno. È sempre importante valutare per prima cosa la sicurezza fisica dell'utente e la protezione dell'ambiente circostante. Questo vale anche per l'AR, in cui gli utenti devono mantenere una buona consapevolezza dell'ambiente circostante, soprattutto nelle esperienze più immersive.

Altri problemi con la VR descritti come negativi dai critici includono:

• Rischio di dipendenza.
• Effetti sulla salute, come vertigini, nausea o inconsapevolezza spaziale (dopo un uso prolungato della VR).
• Perdita di contatto umano.

Esempi di AR e VR

Gli usi per la realtà aumentata, la realtà virtuale e la realtà mista sono vari e in continua espansione. Essi includono:

• Giochi: dagli sparatutto in prima persona ai giochi di strategia fino alle avventure di ruolo. Il gioco AR più famoso è probabilmente Pokémon Go.
• Sport professionistici: per programmi di allenamento rivolti sia ad atleti professionisti cha al pubblico amatoriale.
• Viaggi virtuali: gite virtuali ad attrazioni come zoo, parchi safari, musei d'arte e via dicendo, senza uscire di casa.
• Medicina: per consentire ai professionisti di formarsi, ad esempio, utilizzando simulazioni chirurgiche.
• Film e TV: per creare esperienze avanzate in film e altri spettacoli.

La tecnologia è utilizzata anche in campi più seri. Ad esempio, l'esercito americano lo utilizza per migliorare digitalmente le missioni di addestramento per i soldati, mentre in Cina la polizia lo utilizza per identificare i sospetti.

Problemi di privacy di Oculus

Oculus è uno dei visori VR più conosciuti e una delle poche aziende che supportano lo sviluppo di giochi VR su larga scala. Facebook ha acquisito la società nel 2014 e nel 2020 ha annunciato che sarebbe stato necessario l'accesso a Facebook per i futuri visori VR. Questo sviluppo ha scatenato un'accesa discussione sulla privacy di Oculus.

I critici della decisione erano preoccupati per il modo in cui Facebook raccoglie, archivia e utilizza i dati e per il potenziale allargamento del targeting degli annunci, oltre al fatto di essere costretti a utilizzare un servizio laddove normalmente non lo si sarebbe scelto. L'annuncio ha portato a un'ondata di post online di utenti attenti alla privacy preoccupati per la sicurezza di Oculus e che hanno affermato che non avrebbero più utilizzato i loro visori Oculus; secondo i commentatori, però, questo non parrebbe ostacolare Oculus nel lungo periodo.

Suggerimenti: come stare al sicuro quando si utilizzano sistemi VR e AR

Evitare di divulgare informazioni troppo personali

Non divulgare informazioni troppo personali o che non necessitano di essere divulgate. Una cosa è impostare un account con la propria e-mail, un'altra è specificare la carta di credito, a meno che non si debba esplicitamente acquistare qualcosa.

Leggere le politiche sulla privacy

A volte è facile saltare lunghe politiche sulla privacy dei dati o la pagina di termini e condizioni. Ma vale la pena provare a scoprire come le aziende dietro le piattaforme AR e VR archiviano i dati e come li usano. Ad esempio, condividono i dati degli utenti con terze parti? Che tipo di dati condividono e raccolgono?

Usare una VPN

Un modo per mantenere privata l'identità e i dati sul Web è utilizzare un servizio VPN. Nel caso fosse necessario divulgare informazioni sensibili, l'utilizzo di una VPN può proteggere dalla compromissione di tali informazioni. Il criptaggio avanzato e un indirizzo IP alterato agiscono insieme per mantenere privata l'identità e i dati personali. Il modello VPN probabilmente si espanderà accompagnando gli sviluppi in corso nelle tecnologie AR e VR.

Mantenere aggiornato il firmware

È fondamentale mantenere aggiornato il firmware di visori VR e dispositivi AR indossabili. Oltre ad aggiungere nuove funzionalità e migliorare quelle esistenti, gli aggiornamenti aiutano a correggere i difetti di sicurezza.

Utilizzate un software anti-virus completo

In generale, il modo migliore per rimanere al sicuro online è utilizzare una soluzione di sicurezza informatica proattiva. Kaspersky Total Security, ad esempio, fornisce una solida protezione da minacce online di varia natura come virus, malware, ransomware, spyware, phishing e altre minacce emergenti per la sicurezza di Internet.

Articoli correlati:

• Truffe nei giochi online: come stare al sicuro
• I 7 principali pericoli e rischi del gioco online per bambini e ragazzi
• Cos'è l'IoT? Suggerimenti per la sicurezza IoT
• Truffe di gioco online durante la pandemia: come stare al sicuro