AR- ja VR-turvallisuus

Mitä ovat täydennetty todellisuus (AR) ja virtuaalitodellisuus (VR)?

Täydennetty todellisuus (AR) ja virtuaalitodellisuus (VR) liittyvät läheisesti toisiinsa, mutta ne eivät ole sama asia. Täydennetty todellisuus parantaa tai "täydentää" todellista maailmaa lisäämällä digitaalisia elementtejä – jotka ovat visuaalisia, aistimuksellisia tai ääniä – todellisen maailman näkymään. Yksi viime vuosien tunnetuimmista AR-esimerkeistä on ollut suosittu peli Pokémon Go.

Sen sijaan virtuaalitodellisuus ei lisää elementtejä olemassa olevaan maailmaan vaan luo oman kyberympäristönsä. Virtuaalitodellisuus koetaan yleensä käyttöliittymän, kuten kuulokkeiden tai lasien välityksellä sen sijaan, että sitä katseltaisiin näytöltä.

Yhdistetty todellisuus (MR) on samankaltainen kuin täydennetty todellisuus (AR), mutta se menee pidemmälle projisoimalla kolmiulotteista digitaalista sisältöä, joka on avaruudellisesti tietoista ja reagoivaa. Yhdistetyssä todellisuudessa käyttäjät voivat olla vuorovaikutuksessa ja käsitellä sekä fyysisiä, että virtuaalisia kohteita ja ympäristöjä. Esim. virtuaalinen pallo saattaa ponnahtaa todellista pöytää tai seinää vasten.

Yhteisnimike virtuaaliselle, täydennetylle ja yhdistetylle todellisuudelle on laajennettu todellisuus (XR). Laajennetun todellisuuden (XR) laitteiden, ohjelmistojen ja palvelujen globaalit markkinat kasvavat joka vuosi. Mutta näiden teknologioiden nopea kasvu on saanut kuluttajat miettimään, mitä yksityisyys- ja turvallisuusongelmia niihin liittyy.

Täydennetyn todellisuuden turvallisuus- ja yksityisyysongelmat

AR:n ongelmat

Yksi suurimmista täydennetyn todellisuuden vaaroista koskee yksityisyyttä. Käyttäjän yksityisyys on vaarassa, koska AR-teknologiat voivat nähdä, mitä käyttäjä tekee. AR kerää käyttäjästä ja hänen tekemisistään paljon tietoa – paljon enemmän kuin esimerkiksi sosiaalisen median verkostot tai muut teknologian muodot. Se herättää huolenaiheita ja kysymyksiä, kuten:

Jos hakkeri saa laitteen käsiinsä, yksityisyyden menetyksen mahdollisuus on valtava.
Kuinka AR-yritykset käyttävät ja suojaavat käyttäjiltä kerättyjä tietoja?
Missä yritykset säilyttävät AR-tiedot – paikallisesti laitteessa vai pilvitallennustilassa? Jos tiedot lähetetään pilveen, onko ne salattu?
Jakavatko AR-yritykset näitä tietoja kolmansille osapuolille? Jos jakavat, kuinka tietoja käytetään?

Epäluotettavaa sisältöä

AR-selaimet edesauttavat täydennysprosessia, mutta sisältö on kolmansien osapuolten toimittajien ja sovellusten luomaa ja toimittamaa. Tämä kyseenalaistaa täydennetyn todellisuuden luotettavuuden. AR on suhteellisen uusi käyttöalue ja todennettu sisällönluonti ja -siirtomenetelmät ovat edelleen kehitteillä. Taitavat hakkerit voivat korvata käyttäjän täydennetyn todellisuuden omallaan johtaen ihmisiä harhaan tai tarjoamalla valheellista tietoa.

Monenlaiset kyberuhat voivat tehdä sisällöstä epäluotettavaa, vaikka lähde olisikin autenttinen. Niitä ovat esim. huijaus, nuuskinta ja datamanipulointi.

Käyttäjien manipulointi

Sisällön epäluotettavuuden huomioon ottaen täydennetyn todellisuuden järjestelmät voivat olla tehokas työkalu huijata käyttäjiä osana käyttäjien manipuloinnin hyökkäyksiä. Hakkerit voivat esimerkiksi väärentää käyttäjän todellisuuden havainnointia valheellisten merkkien tai näyttöjen avulla saadakseen käyttäjän tekemään hakkereita hyödyttäviä toimia.

Haittaohjelmat

AR-hakkerit voivat sisällyttää sovelluksiin haitallista sisältöä mainosten avulla. Pahaa-aavistamattomat käyttäjät klikkaavat mainoksia, jotka johtavat panttivankiverkkosivuille tai haittaohjelman saastuttamille AR-palvelimille, jotka sisältävät epäluotettavia kuvia ja siten sabotoivat AR-turvallisuuden.

Verkon käyttötunnusten varastaminen

Rikolliset voivat varastaa verkon käyttötunnukset puettavista laitteista, joissa on Android-järjestelmä. Täydennetyn ja virtuaalitodellisuuden ostosovelluksia käyttäville jälleenmyyjille hakkerointi voi aiheuttaa kyberuhan. Monet asiakkaat ovat jo tallentaneet korttinsa tiedot ja mobiilimaksuratkaisut käyttäjäprofiileihinsa. Hakkerit voivat päästä niihin käsiksi ja kuluttaa tilit tyhjäksi kaikessa hiljaisuudessa, sillä mobiilimaksu on niin saumaton menetelmä.

Palvelunesto

Toinen mahdollinen AR-turvallisuushyökkäys on palvelunesto. Esimerkiksi täydennettyyn todellisuuteen työssään luottavat käyttäjät voidaan estää vastaanottamasta tietovirtaa. Tämä on erityisen vakavaa ammateissa, joissa teknologiaa käytetään tehtävien suorittamiseksi kriittisissä tilanteissa. Tiedon saannin estolla voi olla vakavia seurauksia. Esimerkkinä mainittakoon kirurgi, joka yllättäen menettää yhteyden elintärkeisiin, tosiaikaisiin tietoihin AR-laseissaan, tai kuljettaja, joka menettää tienäkymän, koska AR-tuulilasi muuttuu mustaksi näytöksi.

Väliintulohyökkäys

Verkkohyökkääjät voivat kuunnella AR-selaimen, AR-palveluntarjoajan, AR-kanavanomistajan ja kolmannen osapuolen palvelinten välistä keskustelua. Se saattaa johtaa väliintulohyökkäyksiin.

Kiristysohjelma

Hakkerit voivat päästä käsiksi käyttäjän täydennetyn todellisuuden laitteeseen ja nauhoittaa hänen käyttäytymistään ja vuorovaikutustaan AR-ympäristössä. Myöhemmin hakkerit voivat uhata julkaisevansa tallenteet, ellei käyttäjä maksa lunnaita. Se voi olla häpeällistä ja ahdistavaa käyttäjille, jotka eivät halua, että heidän pelaus- ja muita AR-toimintojaan saatetaan julkisiksi.

Fyysinen vaurio

Yksi merkittävimmistä puettavien AR-laitteiden turvallisuuden haavoittuvuuksista on fyysinen vaurioituminen. Jotkut puettavat laitteet ovat kestävämpiä, mutta niissä kaikissa on fyysisiä heikkouksia. Laitteiden pitäminen toiminnallisena ja turvallisena – esim. sen estäminen, ettei kukaan ohikulkija vie kuulokkeita tai laseja mennessään – on oleellinen turvallisuusnäkökulma.

Virtuaalisen todellisuuden vaarat ja yksityisyysongelmat

VR-turvallisuuden uhat ovat hieman erilaisia kuin AR:n, sillä VR on rajoitettu suljettuihin ympäristöihin ja se ei sisällä vuorovaikutusta todellisen fyysisen maailman kanssa. Siitä huolimatta VR-lasit peittävät käyttäjän koko näkökentän, mikä voi olla vaarallista, jos hakkerit ottavat laitteen haltuunsa. He voivat esim. manipuloida sisältöä niin, että se aiheuttaa käyttäjälle huimausta ja pahoinvointia.

VR:n ongelmat

Samoin kuin täydennetyn todellisuuden kohdalla, myös virtuaalisen todellisuuden suurin huolenaihe on yksityisyys. Keskeinen VR:n yksityisyyden ongelma on, että kerätyt tiedot ovat erittäin henkilökohtaisia. Niitä ovat biometriset tiedot, kuten silmän väri- ja verkkokalvon skannaukset, sormen- ja kädenjäljet, kasvojen geometria ja äänijäljet. Tässä on muutama esimerkki.

Sormien jäljitys: Käyttäjä saattaa käyttää virtuaalimaailmassa käsieleitä samalla tavoin kuin tosielämässä. Hän esimerkiksi naputtelee sormilla koodin virtuaaliseen näppäimistöön. Tämä kuitenkin tarkoittaa, että järjestelmä tallentaa ja välittää sormien jäljitystiedot, joissa näkyy PIN-koodin kirjoittavat sormet. Jos hyökkääjä saa tiedot haltuunsa, hän voi toisintaa käyttäjän PIN-koodin.

Silmän jäljitys: Joissakin VR- ja AR-laseissa on myös silmän jäljitystoiminto. Se voi antaa lisäarvoa haitallisille osapuolille. Kun hakkeri tietää tarkalleen, mitä käyttäjä katselee, se paljastaa hänelle arvokasta tietoa, jotka hän voi napata luodakseen käyttäjän toimintoja uudestaan.

VR- ja AR-jäljitystietoja on lähes mahdotonta muuttaa anonyymiksi, koska ihmisillä on täysin yksilölliset tavat liikkua. Käyttämällä VR-laseista kerättyjä käyttäytymis- ja biologisia tietoja tutkijat ovat onnistuneet tunnistamaan käyttäjiä erittäin tarkasti – mikä on todellinen ongelma, jos VR-järjestelmä tulee hakkeroiduksi.

Aivan kuin postinumerot, myös IP-osoitteet, äänijäljet ja VR- ja AR-jäljitystiedot pitäisi luokitella tiedoiksi, jotka voivat mahdollisesti määrittää henkilöllisyyden [engl. "personally identifiable information" (PII)]. Ne voidaan käsittää henkilöllisyyden määrittäviksi tiedoiksi, koska muut osapuolet voivat käyttää tietoja tunnistaakseen tai jäljittääkseen henkilöllisyyden, joko sellaisenaan tai yhdistettynä muihin henkilökohtaisiin tai yksilöiviin tietoihin. Tämän vuoksi VR:n yksityisyys on vakava ongelma.

Kiristysohjelma

Hyökkääjät voivat syöttää VR-alustoihin toimintoja, jotka on suunniteltu huijaamaan käyttäjiä luovuttamaan henkilötietojaan. Samoin kuin AR:n kohdalla, tämä mahdollistaa kiristysohjelmahyökkäykset, joissa haitalliset tekijät sabotoivat alustoja ja pyytävät sitten lunnaita.

Valheelliset henkilöllisyydet tai "syvähuijaukset"

Koneoppimisteknologiat mahdollistavat äänten ja videoiden manipuloinnin niin hyvin, että ne vaikuttavat aidoilta tallenteilta. Jos hakkeri pääsee käsiksi VR-kuulokkeiden liikkeitä jäljittävään dataan, he voivat käyttää tietoja luodakseen digitaalisen jäljennöksen (jota kutsutaan myös nimellä syvähuijaus) ja vaarantaa siten VR-turvallisuuden. Hakkerit voivat liittää sen jonkun muun VR-kokemuksen päälle luodakseen käyttäjän manipulointihyökkäyksen.

Kyberturvallisuuden lisäksi yksi suurimmista virtuaalitodellisuuden vaaroista on, että se estää kokonaan käyttäjän näkö- ja kuuloyhteyden ulkopuoliseen maailmaan. Käyttöympäristön fyysinen turvallisuus on tärkeää arvioida aina ennen käyttöä. Sama koskee täydennettyä todellisuutta, jossa käyttäjän täytyy säilyttää selkeä ymmärrys ympäristöstään – ennen kaikkea immersiivisissä ympäristöissä.

Muiksi virtuaalisen todellisuuden negatiiviksi puoliksi on mainittu:

riippuvuuden muodostumisen mahdollisuus
terveysvaikutukset, kuten huimaus, pahoinvointi tai kykenemättömyys avaruudelliseen hahmottamisen (pitkäaikaisen virtuaalitodellisuuden käytön jälkeen)
ihmiskontaktien menetys.

Esimerkkejä täydennetystä ja virtuaalitodellisuudesta

Täydennetyn, virtuaalisen ja yhdistetyn todellisuuden käyttötavat vaihtelevat ja ne ovat lisääntymässä. Niihin kuuluvat mm.:

Pelaaminen ensimmäisen persoonan ammuntapelistä strategiapeleihin ja roolipeliseikkailuihin. Tunnetuin AR-peli on todennäköisesti Pokémon Go.
Ammattilaisurheilun harjoitteluohjelmat auttavat sekä ammattilais- että amatööriurheilijoita.
Virtuaalimatkat, joissa pääsee tutustumaan eläintarhoihin, villieläinpuistoihin, taidemuseoihin jne. kotoa poistumatta.
Terveydenhuoltosovellukset kuten kirurgiset simulaatiot mahdollistavat lääketieteen ammattilaisten harjoittelun.
Elokuvat ja televisio-ohjelmat tarjoavat tehostettuja kokemuksia.

Teknologiaa käytetään myös vakavimmilla aloilla. Esimerkiksi Yhdysvaltojen armeija käyttää sitä tehostaakseen sotilaiden harjoittelua digitaalisesti, kun taas Kiinassa poliisi käyttää sitä epäiltyjen tunnistamiseen.

Oculus-lasien yksityisyyshaasteet

Oculus on yksi tunnetuimmista VR-laseista ja yksi harvoista yrityksistä, jotka tukevat virtuaalitodellisuuspelien kehitystä laajassa mittakaavassa. Facebook osti yrityksen vuonna 2014 ja vuonna 2020 Facebook ilmoitti, että tulevaisuuden virtuaalilasien käyttö edellyttää Facebookin kirjautumistietoja. Tämä sai aikaan kiihkeän keskustelun Oculuksen yksityisyydestä.

Päätöstä kritisoivat osapuolet olivat huolissaan, kuinka Facebook kerää, tallentaa ja käyttää dataa. Lisäksi olemassa on mainosten kohdistamisen mahdollisuus ja pakko käyttää palvelua, jota on muuten päättänyt olla käyttämättä. Ilmoitus johti verkkojulkaisujen tulvaan yksityisyydestään tietoisilta käyttäjiltä, jotka olivat huolissaan Oculuksen turvallisuudesta. He ilmoittivat lopettavansa Oculus-lasien käytön, vaikka toiset uskoivat, että muutos ei hidastaisi Oculusta pitkällä tähtäimellä.

Vinkkejä kuinka pysyt turvassa käyttäessäsi VR- ja AR-järjestelmiä

Älä luovuta liian henkilökohtaisia tietoja

Älä luovuta mitään tietoja, jotka ovat hyvin henkilökohtaisia, tai joita ei tarvitse luovuttaa. On eri asia ilmoittaa tilin luonnin yhteydessä sähköpostiosoite, mutta älä anna luottokorttisi numeroa, ellet ole varta vasten ostamassa jotain.

Tutustu yksityisyyskäytäntöihin

Pitkä yksityisyyskäytäntö ja ehdot ja säännöt on helppo jättää lukematta. On kuitenkin vaivan väärti ottaa selville, kuinka AR- ja VR-alustojen takana olevat yritykset tallentavat tietojasi ja mitä ne tiedoilla tekevät. Jakavatko he esimerkiksi tietojasi kolmansien osapuolten kanssa? Minkälaista dataa he keräävät ja jakavat?

Käytä VPN-yhteyttä

Yksi tapa pitää henkilöllisyys ja tiedot yksityisinä verkossa on VPN-palvelun käyttö. Jos sinun pitää luovuttaa arkaluontoisia tietoja, VPN:n käyttö voi suojata tietojasi niin, että ne eivät joudu varastetuksi. Edistynyt salaus ja muutettu IP-osoite yhdessä pitävät henkilöllisyytesi ja tietosi yksityisinä. Täydennetyn ja virtuaalitodellisuuden kehityksen myötä VPN-malli todennäköisesti laajenee näissä teknologian todellisuuksissa.

Pidä laitteisto ajan tasalla

On tärkeää, että pidät VR- ja AR-lasien ja kuulokkeiden laiteohjelmiston ajan tasalla. Sen lisäksi, että päivitykset lisääväät uusia toimintoja ja parantavat olemassa olevia, ne korjaavat tietoturvallisuusaukkoja.

Käytä kattavaa virustorjuntaohjelmistoa

Yleisesti ottaen paras tapa pysyä turvassa verkossa on ennakoivan kyberturvallisuusratkaisun käyttö. Kaspersky Total Security tarjoaa kattavan suojauksen monia verkkouhkia vastaan. Niitä ovat esimerkiksi virukset, haitta-, kiristys- ja vakoiluohjelmat, tietojenkalastelu ja muut uudet internetturvallisuuden uhat.

Aiheeseen liittyvät artikkelit:

Verkkopelihuijaukset – kuinka pysyt turvassa
Verkkopelien seitsemän suurinta vaaraa lapsille
Mikä on IoT? IoT-turvallisuutta koskevia vinkkejä
Verkkopelipetokset pandemian aikana – kuinka pysyt turvassa

Mitä turvallisuus- ja yksityisyysriskejä VR ja AR aiheuttavat?

Kaspersky

Mitkä ovat virtuaalitodellisuuden ja täydennetyn todellisuuden keskeiset vaarat? Opi AR- ja VR-turvallisuudesta ja -yksityisyydestä, mukaan lukien Oculus-tietoturvaongelmat.