Dikkat! Siber Korsanlar VR Cihazları ile Hassas Kişisel Verilere Erişim Sağlayabilir

ABD’deki Rutgers Üniversitesi tarafından yapılan yeni bir araştırma, siber korsanların sesli komutlar ile sanal gerçeklik (VR) başlıklarından hassas bilgilere ulaşabileceğini gösterdi. Araştırmada, ses bağlantılı yüz hareketleri ve hareket sensörleri bulunan VR ve artırılmış gerçeklik (AR) başlıkları kullanılarak sesli komut ile hassas bilgilerin çalınabileceği anlaşıldı.

Söz konusu riski göstermek amacıyla geliştirilen “Face-Mic” saldırısında, insan sesi ile kullanılabilen yüz dinamikleri aracılığı ile AR/VR başlıklarından kredi kartı ve şifre gibi bilgilerin çalınabileceği gösterildi. Analizlerde, piyasada bulunan en popüler dört AR/VR başlığının Face-Mic gibi bir saldırıya karşı güvenlik açığı sunduğu anlaşıldı. Bu başlıklar arasında Oculus Quest ve HTC Vive da yer alıyor.

Araştırmacılar, AR/VR başlıklarının hareket sensörleri tarafından yakalanan üç çeşit titreşimi inceledi. Yüz hareketleri, kemik bağlantılı titreşimler ve hava ile taşınan titreşimlerin hassas bilgilerle bağlantısı incelendi. Özellikle kemik titreşimi ile ilişkilli hareketlerin cinsiyet, kimlik ve konuşma bilgisi gibi hassas verileri yansıttığı anlaşıldı. Böylece, başlıklardaki hareket sensörleri aracılığı ile kullanıcının hassas konuşma ve kişisel bilgilerine izinsiz erişilebileceği anlaşıldı.

Güvenlik zafiyeti bulunan başlıklar risk oluşturuyor

Her ne kadar birçok AR/VR başlık üreticisi ses erişim fonksiyonu için belli politikalar sunsa da, başlıklardaki hareket sensörlerinin (hız ölçer ve jiroskop gibi) herhangi bir erişim izni sunmadığı not düşüldü. Buradan ortaya çıkan güvenlik açıkları, siber saldırganların kullanıcıları gizlice dinlemesini sağlayabilir.

Siber korsanların basit ses içeriğini dinleyerek kredi kartı bilgilerinden sosyal güvenlik numaralarına ve telefon numaralarından PIN kodlarına kadar birçok bilgiyi elde edebileceği kaydedildi. Dahası, sesli takip ile kullanıcının kimliği siber korsan tarafından izlenirse, kişinin satın aldığı oyunlara ve AR/VR başlığını kullanma sıklığına kadar çok daha özel kişisel bilgilere erişim söz konusu olabilir. Örneğin, Oculus Quest başlığı web sayfa adreslerinin girilmesi, başlığın komutla kontrolü ve ticari ürünlerin incelenmesi gibi işlemlere sesli komut kullanıyor. Erişimi için izin gerekmeyen sensörlere erişim ile siber korsanların tüm bu bilgileri ele geçirebileceğinin altı çiziliyor.

Güvenlik esaslı inovasyon gerekiyor…

Uzmanlar, AR/VR başlıkları üreticilerinin ek malzemeler kullanarak hız ölçer ve jiroskop gibi sensörler tarafından hareketlerin anlaşılmasını önleyecek önlemler almasını tavsiye ediyor.

Gelinen aşamada, araştırmacılar yüz titreşimlerinin kullanıcıların kimliğini tespit etmekte nasıl kullanılabileceğini, aynı zamanda nefes alma ve kalp atışı bilgileri ile sağlık ve psikolojik durumun anlaşılıp anlaşılamayacağını çözmeye çalışıyor.