對于網(wǎng)絡(luò)安全領(lǐng)域的佼佼者來說,所有的聯(lián)網(wǎng)設(shè)備都是不安全的,有這么一則戲言:“我們的眼中只有兩種人:知道自己被黑的人和沒有意識到自己被黑的人!
McCauley作為Oculus VR的聯(lián)合創(chuàng)始人,涉及了整個項目的kickstarter眾籌和Oculus DK1的開發(fā),得知Oculus被Facebook收購后不久,兢兢業(yè)業(yè)工作了兩年的McCauley還是毅然離開了團隊。我們未能知道Oculus內(nèi)部產(chǎn)生了什么糾紛,不過Facebook對于Oculus的影響正在持續(xù)發(fā)酵,特別是在用戶隱私方面。
此前DigitalTrends的報道就提出,一旦Oculus rift暴露在互聯(lián)網(wǎng)中,設(shè)備就會開啟一個持續(xù)向Facebook服務(wù)器傳遞數(shù)據(jù)的進程,即便是關(guān)閉Oculus rift也無濟于事。而當我們反編譯Oculus Home的代碼時,還能發(fā)現(xiàn)一些更為有趣的東西。
Oculus Home的代碼片段中,有很多做到一半就被急忙封包的痕跡。根據(jù)判斷,與用戶隱私有關(guān)的功能包括,“站立探測器(standing Detector)”,“截屏(Print Screen)”和“監(jiān)護系統(tǒng)(chaperone)”,逐一分析就能發(fā)現(xiàn)他們的不同作用。
·“站立探測器”允許Oculus Home記錄用戶使用設(shè)備時的動作,介于Oculus Rift目前還不涉及大幅度的移動,代碼暫時只具備偵測站立與坐下(蹲下)的功能。不過,在設(shè)備更加完善的情況下,用戶的行為習(xí)慣將被一覽無余。
·“截屏”功能的本意是使佩戴者在體驗VR時能夠隨時保存喜愛的嘲圖片,懷揣惡意的評價它似乎有些不大公道,但是,它反過來確實可以被服務(wù)端加以利用,從而判斷用戶正在觀看什么內(nèi)容。
·“監(jiān)護人”這個功能目前還沒有坐實的信息可以判斷它的具體用途,只知道這段代碼是某個守護者系統(tǒng)版本,隨著Oculus的迭代,應(yīng)該會有新的東西加入進去。
然而,即便是Facebook決意要分析這些隱私數(shù)據(jù)我們也無計可施,Oculus Rift的隱私條款里都寫得清清楚楚:游戲、APPs、IP地址這些內(nèi)容他們?nèi)加袡?quán)收集,一旦開始使用Oculus Rift,就等于同意了這些條款。
需要提及的是,在Oculus Home的代碼中也有一些善意的存在,比如能夠開啟多人游戲的“社交房間”,一個評星的“打分系統(tǒng)”,還有一段鍵盤的支持代碼,只是都還未實現(xiàn)。
如果Facebook只是收取保護費的黑手黨,那么專搞破壞的黑客就是在你背后捅刀子的地痞流氓,攻破VR設(shè)備的技術(shù)手段其實早已成熟,和破解普通的電子設(shè)備沒有太多不同。
早前美國哥倫比亞電視臺的一檔節(jié)目中,安全實驗室的Karsten Nohl就聯(lián)合計算機科學(xué)博士Nohl在眾目睽睽之下成功的監(jiān)聽了國會議員Ted Lieu的手機,而他們只是簡單的得知了Ted Lieu的手機號碼。
基于VR設(shè)備的特性,在正規(guī)商業(yè)利用上,頭顯的動作捕捉器完全可以將用戶的行為模式記錄在案,然后根據(jù)你所使用的軟體來判斷體驗者的個人喜好,以便定時的向你推送不同的廣告來獲得收益。而在充滿利益的灰色地帶,別有用心的人將得到你與設(shè)備聯(lián)動的真實個人信息,以便在頭顯的軟件中嵌入與你相關(guān)的惡意程序,甚至翻閱你的付費清單,從而達到竊取銀行賬號的目的。
不過,當前很多信息的竊取手段還比較初級,Karsten Noh表示他們利用的SS7(公共通信網(wǎng)絡(luò)中國際通用標準七號信令系統(tǒng))漏洞是觸犯國家安全法的,大多數(shù)黑客還是不敢嘗試。
投稿郵箱:chuanbeiol@163.com 詳情請訪問川北在線:http://m.sanmuled.cn/