ENCUENTRAN VULNERABILIDADES DE CIBERSEGURIDAD EN VARIOS MODELOS DE VISORES DE REALIDAD VIRTUAL
Investigadores de la Universidad Rutgers-New Brunswick, de Estados Unidos han publicado un estudio denominado 'Face-Mic' que descubre que varios modelos de visores de Realidad Virtual, de marcas como Meta, HTC y PlayStation, presentan vulnerabilidades de ciberseguridad las cuales exponen a sus usuarios a problemas de privacidad y ciberataques cuando usan los comandos de voz.
La investigación analiza las funciones de seguridad que rodean a los comandos de voz en los visores. La presencia de diferentes sensores de movimiento en estos dispositivos, hace que los cibercriminales puedan detectar pequeños movimientos faciales vinculados al habla para acceder a contenidos de los comandos de voz.
Los investigadores han podido demostrar la existencia de estas vulnerabilidades a raíz de un ataque conocido como de 'eavesdropping'. En este tipo de ataques el ciberdelincuente escucha en secreto a la víctima.
Yingying 'Jennifer' Chen, autora del estudio y profesora de la Universidad Rutgers-New Brunswick, ha asegurado que: "Face-Mic puede derivar la información confidencial del visor del usuario de cuatro cascos de Realidad Virtual o Aumentada convencionales, incluidos los más populares: Oculus Quest y HTC Vive Pro".
Durante el estudio, los investigadores han analizado tres tipos de vibraciones que este tipo de dispositivos suelen captar: los movimientos faciales; las vibraciones en el aire; y las vibraciones óseas, estas permiten conocer el género del usuario, su identidad e información sobre el habla.
Las vulnerabilidades y ataques están presentes tanto en dispositivos de gamas altas como en los fabricados en cartón. Un ataque a los mismos puede permitir que toda esta información se filtre sin permiso ni conocimiento por parte de los usuarios.
El acceso al audio y al contenido del micrófono suele estar bien protegido por parte de los fabricantes de visores. Sin embargo, no pasa lo mismo con las vibraciones óseas, captadas por sensores como el acelerómetro y el giróscopo. Estas no requieren del permiso del usuario para aceptar un acceso no autorizado.
Estas técnicas de 'eavesdropping' facilitan a los atacantes conocer qué comandos de voz utiliza la víctima, o lo que escribe en los casos en los que el visor dispone de función de dictado.
Esta vulnerabilidad puede suponer una exposición a la filtración de información sensible como números de tarjetas de crédito, contraseñas de cuentas o números de teléfono. Además, de otro tipo de información como las preferencias de videojuegos y compras del usuario.
La investigación al completo realizada por la Universidad Rutgers-New Brunswick se presentará en marzo de este mismo año, durante el encuentro anual de la Conferencia Internacional de Computación Móvil y 'Networking'.
Los autores aseguran que su intención es incrementar la visibilidad general sobre los problemas de seguridad de los visores de realidad virtual. Apostando así por diseños más seguros frente a la información revelada por las vibraciones óseas.
Elena Vivar