元宇宙資安真相:廠商攔隱私,駭客劫個資

作者 | 發布日期 2021 年 11 月 18 日 8:00 | 分類 VR/AR , 元宇宙 , 網路 Telegram share ! follow us in feedly


由於 Metaverse 元宇宙被視為 3D 版的次世代網際網路,所以不但會完全承接當前網際網路上的各種安全威脅與漏洞,預計駭客也將會很快發展出元宇宙專屬的各式攻擊。但最可怕的是,元宇宙安全威脅的來源不僅止於駭客,連廠商也會大張旗鼓地湊一腳,他們會舉起提升服務及體驗品質的大旗,間接地和駭客分頭造就出一個毫無個人隱私的 3D 數位國度。 

面對標榜「無限使用者上線」的元宇宙,不但廠商心動,連駭客也興奮地調轉槍頭準備在元宇宙中放手一搏;再加上元宇宙特有的「長時間登錄」使用習性,更一再地傳遞出「商機無限」與「無窮攻擊價值」的強烈訊息,廠商與駭客都恨不得元宇宙能立馬來到。

不過,即使迅速將公司名稱改成「Meta」的 Facebook,也表示元宇宙的普及還要 15 年的時間,這說明了元宇宙的來到還要等上一段時間。畢竟元宇宙不像產品發表會有精準的時間點,而會從不同技術、應用與產業等層面的不斷發展而逐漸趨於成熟/成形。

事實上,如今元宇宙早已踏出了普及之路的第一步,我們從許多大廠的積極布局,以及元宇宙概念股的火熱就可以說明一切。同樣的,惡意攻擊者也開始從元宇宙概念驗證攻擊中累積經驗、磨練手法。可以預見的,在廠商與駭客的兩路包夾下,身處元宇宙之中的使用者將面臨有史以來最嚴峻的隱私與個資挑戰,對此,我們該如何有效因應?並率先在哪些面向做好準備?接下來就讓我們一同深入探討。

個資濫用與隱私侵犯

早在元宇宙之前,AR/VR 就成為廠商蒐集使用者個資的利器,人們最常質疑的問題包括:AR/VR 廠商如何保護從使用者身上蒐集到的資料?這些廠商是將資料儲存在本地裝置端,還是雲端上?傳輸中及儲存中的資料是否有加密?這些資料是否會分享給第三方合作夥伴?分享的目的及作用為何?

由於 AR 常淪為偷拍者侵犯/偷窺他人隱私的利器,不禁讓人們身陷全民狗仔的恐懼中。除此之外,AR 也成為偷錄電影或竊取公司機密的利器,商業利益及公司競爭力恐將在不知不覺中遭到破壞。

▲ AR 眼鏡可以方便地錄下眼前景觀,但這也可能淪為偷拍者的利器。圖為 Meta/Facebook 與雷朋聯名的 AR 眼鏡(Source:Facebook

這些疑問不但會在元宇宙中再次出現,廠商從使用者身上所蒐集資料的程度、面向及範疇將更勝以往,舉凡使用者在元宇宙中的一舉一動、視線所及的一切、目光焦點停留處及時間,乃至活動類型、消費喜好、購買力、社群互動、娛樂取向、交易標的、男女性向及生物識別資料等全被元宇宙廠商掌握殆盡,而且廠商只會鼓舌如簧地辯駁,這一切全為了提升使用者體驗並提供更好的服務品質。

沉浸在元宇宙各種形形色色應用與活動的使用者,會突然意識到自己深陷在一個既無隱私,也沒安全保障的 3D 虛擬世界裡。因為駭客也能透過社交工程、網路釣魚及惡意軟體等工具及手法盜用使用者帳號或竊取生物識別資料等個資。不僅如此,使用者可能在未來某日突然驚覺自己的行為及互動完全被元宇宙廠商主導與控制,畢竟廠商手上掌握了有史以來最鉅細靡遺的個資與隱私,自然能更精準分析甚至形塑使用者的需求及行為。過去失敗的「劍橋分析事件」,將在元宇宙中成功翻版。

▲ Facebook 過去曾爆發劍橋分析事件醜聞。(Source:Wikimedia

 不安全 App 淪為駭客劫持帳號與 DDoS 攻擊管道

元宇宙在發展過程中,勢必會不斷冒出各種形形色色的遊戲、購物、社交、工作、視訊會議、股票/虛擬貨幣/NFT 交易等 App,他們是喚起使用者加入元宇宙意願的最佳催化劑。正因為如此,確保 App 帳號及存取安全將會是元宇宙相關應用服務的第一優先事項,畢竟實體世界 App 常見的身分盜用及帳號劫持問題,一樣會依樣畫葫蘆地在元宇宙中出現。尤其對一心牟利的駭客而言,真正具備攻擊價值的並非 PII 個人識別資訊,而是帳號。因為駭客可以將內含破關進度或寶物的帳號在網上販售。

如今 Goolge Play 上不時會出現許多惡意 App,所以屆時元宇宙上除了可能充斥大量不安全的 App 之外,也會湧現大量的免費 App,這些 App 有可能成為潛藏廣告及惡意軟體的溫床。此外,駭客也可能透過對特定元宇宙 App 或服務發動 DDoS 攻擊來要脅廠商。

NFT 安全攻防將成元宇宙重大安全問題

無庸置疑的,具備不可替代性與不可分割性的 NFT 非同質化化幣,將成為元宇宙使用者做為虛擬土地、房子、汽車等資產,抑或虛擬頭像的最佳獨一無二權益證明,這點從元宇宙還沒「真正上演」,NFT 就已在當前網路上「轟動萬教」說明一切。如此熱門的 NFT,自然成為駭客的最新攻擊目標,事實上,駭客的確已找到竊取 NFT 的方法,並在網上銷售 NFT 形式的零時差漏洞攻擊工具。另外值得注意的是,當前網路上並有假 NFT 在網上販售的案例,所以 NFT 安全攻防必定會是今後元宇宙裡的重大安全問題之一。

▲ 台灣羅芙奧藝術集團在台灣舉辦的首場《All IN: NFT Curated – New Flow of Tweet》NFT 拍賣會中開賣稀有的 BAYC 無聊猿 NFT 頭像。(Source:Hyperbeast

當前 NFT 市場上,除了虛擬資產、藝術品不斷締造令人咋舌的交易價格紀錄之外,就數 Avatar 虛擬頭像最為火熱,例如僅有 24 個超稀有的 Cryptopunks 猴子,一個要價就破千萬美元,如此身價自然會激起駭客攻擊的強烈慾望。但動起 NFT 虛擬頭像歪腦筋的不僅止於駭客,之前就有 Roblox 使用者帳號被川普支持者劫持,導致自己專屬虛擬頭像穿上川普支持者所穿戴的衣帽,這讓使用者的虛擬頭像成了政治或商業宣傳的工具。

入侵人手一機的 AR/VR 裝置成為家常便飯

在實體世界時有 VR/AR 被駭案例,未來在人手一機的元宇宙中恐怕更容易發生,同時 VR/AR 與元宇宙伺服器/應用服務之間的連線也可能遭到劫持,駭客可藉此對正在進行中的交易程序發動中間人攻擊。為了避免 VR/AR 裝置或 App 所傳送資料遭到駭客攔劫,加密或 VPN 便成為必要的基本防護措施。

▲ 未來人手一機的 AR/VR 有可能淪為駭客攻擊的目標或跳板。(Source:Kaspersky

 任何裝置都有可能被植入惡意軟體,VR/AR 裝置自然也不例外,更何況目前似乎沒有針對 AR/VR 的安全防護產品。總之,駭客可藉此啟動裝置上的攝影機或錄音機,進而蒐集使用者視線中的一切影像與聲音資料,或藉此破獲可洩露重要工作場合憑證的相關資訊。

最駭人聽聞的,安全技術人員證實駭客甚至可以改變使用者眼前看到的東西,進而誘使使用者執行有利於駭客的勾當,甚或故意製造像諜戰電影中讓人身陷受傷或死亡的意外。再者,駭客也有可能透過惡意軟體鎖死使用者裝置,使用者只有付贖金才能恢復正常使用。

除了上述可能風險之外,未來元宇宙將成為廠商打廣告的聖地,因為廠商可以輕易地將廣告散布在使用者視線所及的建物、街道、地面、牆壁、交通工具,甚至天空及行人前胸/後背上,所以元宇宙將成為廣告無所不在的泛濫國度。

再者,過去常常傳出有寶可夢玩家太入迷,結果掉進池溏、水溝的慘劇發生,同樣的實體安全問題,恐怕在元宇宙時代裡會更嚴重。使用者若在特定場域玩得太過入迷,也有可能導致宵小趁機偷取財物的狀況發生。

▲ 過去曾有媒體報導寶可夢玩家因為分心而造成多起交通事故,甚至死亡事件。(Source:Newscientist

總而言之,元宇宙的隱私及個資安全,有待長時間法律面與協定面的重新修訂與增訂。有趣的是,11/2 日 Meta/Facebook 宣布展開為期兩年共投資 5,000 萬美元的「XR 計畫」(XR Programs and Research Fund),以致力元宇宙的安全。一家過去在個資及隱私權毫無信用可言的公司,竟然侈言元宇宙的未來安全,這就好比全球頭號駭客宣布要促進全球資訊安全一樣毫無公信力,豈非可笑之至?

(首圖來源:華納兄弟台灣

延伸閱讀:

關鍵字: , , ,