Amerika Birleşik Devletlerindeki Rutgers Üniversitesinden araştırmacılar, sanal gerçeklik (VR) başlıklarında gizlilik açıkları buldu.
ABD'de bir grup araştırmacı, VR başlıklardaki sesli komut özelliklerinin “dinleme saldırıları” olarak bilinen büyük gizlilik sızıntılarına nasıl yol açabileceğini inceleyen “Face-Mic” çalışmasını yayımladı. Bu çalışma aynı zamanda türünün ilk örneği olarak tanımlandı.
Çalışma, bilgisayar korsanlarının yerleşik hareket sensörlü popüler sanal gerçeklik (AR/VR) başlıklarını kullanabileceğini gösteriyor. Bu şekilde hackerlar, kredi kartı verileri ve şifreler de dahil olmak üzere sesli komut yoluyla iletilen hassas bilgileri çalmak için konuşmayla ilişkili ince yüz dinamiklerini takip edebiliyor.
WINLAB yardımcı direktörü ve Rutgers Üniversitesi Elektrik ve Bilgisayar Mühendisliği lisansüstü direktörü Yingying “Jennifer” Chen’in yönettiği çalışma, Mart ayındaki Uluslararası Mobil Bilgi İşlem ve Ağ Konferansı'nda sunulacak. Çalışmaya, Texas A&M Üniversitesinden Nitesh Saxena ve Tennessee Üniversitesinden Jian Liu da katkı sağladı.
Chen ve ekip arkadaşları, güvenlik açıklarının varlığını göstermek için, “Face-Mic” olarak bilinen AR/VR başlıklarını hedef alan bir gizli dinleme saldırısı geliştirdi. Chen, “Araştırmamız, Face-Mic'in, popüler Oculus Quest ve HTC Vive Pro da dahil olmak üzere dört ana akım AR/VR başlık ile başlık takan kişinin hassas bilgilerini elde edebileceğini gösteriyor.” dedi.
#haber#
Araştırmacılar, konuşmayla ilişkili yüz hareketleri, kemik kaynaklı titreşimler ve hava kaynaklı titreşimler dahil olmak üzere AR/VR başlıklarının hareket sensörleri tarafından yakalanan üç tür titreşimi inceledi. Chen, özellikle kemik kaynaklı titreşimlerin ayrıntılı cinsiyet, kimlik ve konuşma bilgileriyle zengin bir şekilde kodlandığını kaydetti.
Chen, hareket sensörleriyle yakalanan yüz dinamiklerini analiz ederek, başlıklarda güvenlik açıkları bulunduğunu ve kullanıcının hassas konuşma ve kişisel bilgilerini izinsiz olarak açığa çıkardığını söyledi.
Ekip, VR başlıklarındaki mikrofonunun hareket sensörlerinin erişim için herhangi bir izin gerektirmediğini buldu. Bu güvenlik açığı ise, gizli dinleme saldırıları gerçekleştirmek isteyen kişiler tarafından kullanılabilir.
Gizli dinleme saldırılarında kredi kartı numaraları, Sosyal Güvenlik numaraları, telefon numaraları, PIN numaraları, işlemler, doğum tarihleri ve şifreler gibi hassas bilgileri çıkarmak için rakamlar ve kelimeler dahil olmak üzere basit konuşma içeriği elde edilebilir. Bu tür bilgilerin ifşa edilmesi kimlik hırsızlığına, kredi kartı dolandırıcılığına ve sağlık hizmeti bilgilerinin sızmasına neden olabilir.
Araştırmayı yürüten ekip şimdi ise, yüz titreşim bilgilerinin kullanıcıların kimliğini nasıl doğrulayabileceğini araştırıyor
Google Play
App Store
Haberi Paylaş
14:56
YORUM YAZ