本文来自数世咨询,作者/nana。
元宇宙是正在开发中的3D虚拟世界网络,可通过虚拟现实(VR)或增强现实(AR)技术加以访问。元宇宙就是要让与数字世界及其中玩家的互动更加鲜活有趣,无论这种互动是为了享用服务,还是为了娱乐或工作。
“元宇宙”这个词源自作家尼尔·斯蒂芬森(Neal Stephenson)1992年的科幻小说《雪崩》(Snow Crash),指的是沉浸式虚拟世界,人们可以通过虚拟现实眼镜接入这个世界,从而逃离现实,过上平行生活。如今,元宇宙概念受到Facebook的强力追捧,甚至到了公司名都改为Meta的程度,投入其中的资金更是不计其数。
而且,确信元宇宙历经迭代终将成为未来版互联网的公司众多,而Meta仅仅是其中一家——尽管也有很多公司对是否希望以这种方式接入持审慎态度。
虽然元宇宙可能为用户带来种种好处,但与其他任何联网创新一样,网络犯罪分子、欺诈者和骗子同样会像闻到血腥味的鲨鱼一样围过来,试图利用元宇宙牟利,而这会从一开始就形成网络安全和隐私保护问题。
元宇宙的一大特点就是用户在虚拟环境中用自定义的虚拟化身代表自己,但你如何分辨自己与之交互的那个人真的是他们自己声称的身份呢?
网络安全与渗透测试公司Cobalt首席战略官Caroline Wong表示:“我可以在元宇宙里弄个跟你差不多的虚拟化身,再取个听起来真的就是你的昵称,然后我就很可能诱骗一些人相信这是你。”
“这就难办了,因为在元宇宙里,你可能永远听不到他人的真实声音。你可能永远看不到别人真正的脸庞。你可能会跟职业骗子聊上几天、几个月,甚至几年,建立起与真实情况八竿子打不着的信任关系。”
众所周知,网络钓鱼邮件和短信诈骗如今在互联网上已经够成功的了,网络犯罪分子利用社会工程盗取各种密码、个人信息和金钱。而在元宇宙里,这事儿做起来甚至更加容易,尤其是在用户觉得交谈对象是自己熟识且信任之人的虚拟化身,而此化身背后可能根本就是另一个人的时候。
骗子很可能弄出一个看起来很像你的虚拟化身,然后以此执行针对你朋友或同事的攻击,又或者,像对待其他在线账户一样,直接黑掉那个真正的虚拟化身。如果你在虚拟世界中与人交易,而其他人能够接管他们的账户,这就可能非常难以发现了。
“一直以来都有大量用户账户被盗。这事儿肯定会蔓延到元宇宙世界,我们需要加大这方面的保护力度。”网络安全公司ReasonLabs创始人兼首席技术官Andrew Newman解释道。
使用虚拟化身还带来了另一个问题:如何验证自己是在跟人交互?基于文本的聊天机器人程序已常用于帮助提供客户服务。人工智能的发展意味着聊天机器人程序只会越来越善于与人互动。
网络安全公司趋势科技的工程师Lewis Duke表示:“你跟人互动的时候可能不会知道对方到底是真人还是聊天机器人,又或者只是人工智能。此类技术的使用方式可谓日新月异、丰富多彩。”
尽管全面接入元宇宙很大程度上落脚在虚拟现实头盔等硬件上,但需要注意的是,软件也在其中起着举足轻重的作用:用户需要下载软件来访问虚拟空间、使用业务工具、玩游戏等等。
而与我们下载到计算机或智能手机上的任何东西一样,我们下载的软件可能是恶意的,尤其是软件来自第三方应用商店,或者是破解软件的时候。
虚拟现实头盔不过是另一种类型的计算机而已,在上面植入恶意软件可使网络攻击者得以获取系统访问权、盗取个人信息或窥探其上活动,就像他们会对智能手机或笔记本电脑做的那样。但在元宇宙里,恶意软件能交互的层面会更多。
“很明显,你整个设备文件系统的权限都尽在其掌握之中。但更令人恐惧的是,屏幕截图、屏幕查看等重度隐私敏感的所有事务,它都有权限。”Newman表示。
“想想在其他领域的适用性。VR可用于医疗、教育和其他事务,还有这个基本上没有任何防护的领域。”
ReasonLabs的网络安全研究人员演示了网络罪犯如何对元宇宙用户展开攻击。攻击名为“老大哥”,围绕用户下载恶意软件展开,该恶意软件利用开发者模式,可用于录屏、下载恶意文件,或者篡改用户可在头盔中看到的内容。
这意味着攻击可能不仅仅局限于在元宇宙本身内部执行恶意活动:如果入侵了头盔的攻击者能够操纵用户行动,就有可能对他们造成人身伤害。
“我第一次戴上虚拟头盔的时候听到它说,‘好的,请在您希望尝试和停留的区域边界画一道线’。如果攻击者成功利用某个软件漏洞篡改了那道边界,我很可能遭遇实际的人身危险,直接撞到什么东西上。”Cobalt的Wong说道。
“这就是元宇宙一个很有意思的点了:由于你的视觉和听觉都被完全接管,元宇宙确实引入了造成实际人身伤害的可能性。”她警告道。
然而,谈及元宇宙中的网络安全和隐私,需要考虑的还不仅仅是网络犯罪分子:此类环境会大量收集敏感数据,这意味着推动元宇宙的那些公司可能会利用这些信息。
趋势科技工程师Duke表示:“除了我们已经交给这些公司多少数据,伴随着大量数据而来的还有隐私问题:我们看了什么、我们的生物特征识别信息、我们的反应动作——这些可都是绝对的宝藏。”
公司可以很快确保能收集和使用尽可能多的数据,但用户甚至可能丝毫意识不到自己所给出信息有什么含意,或对自身隐私可能造成什么影响。
“光是让大众了解个cookie都花了好长时间。直到最近几年,我们才真正看到管理如何告知用户其数据使用方式的立法。而如今我们又要加入很多围绕人本身的不同数据。”Duke补充道。
此外,立法往往落后于技术发展的问题也不容忽视,也就是说,到法规确立的时候可能就已经太迟了。只要看看物联网相关网络安全法律和隐私立法有多落后于数十亿智能设备全球投放就知道情况有多糟了。元宇宙也可能存在同样的问题。
“用什么来阻止大公司在收集更多数据上愈加变本加厉?怎么阻止大公司收集生物特征识别数据?所有这类事情都毫无规则可以制止。”Newman说道。
目前,元宇宙还游走在我们如何使用互联网的边缘,但将之视为我们未来工作、社交和在线娱乐方式的那些人,正在向元宇宙投入大量资金。与其他互联网社交环境没有什么不同,总有人想要滥用元宇宙,但用户也可以采取一些措施来帮助维护自身安全。
首先,用来访问元宇宙的任何账户都应该启用多因素身份验证,为阻止账户被接管多加一道防线。此外,建议从官方来源下载和安装应用,减少恶意软件被成功安装到自己设备上的机会。
在元宇宙里,想要完全验证跟自己互动的人是否是其所声称的身份确实很难,但与应对网络钓鱼邮件类似,要留心任何紧急或不寻常的要求——这可能昭示着你正与不怀好意的人交互。
“我对元宇宙持非常乐观的态度。我觉得这会带来巨大的好处,我们可以沟通,可以学习,真的会很酷。”Wong表示。而且,正如不时息屏休息十分明智一样,元宇宙也同样适用这一做法。
“我们只需要记住,一旦有任何不确定的事发生,就拿下头盔,花点时间想想下一步该做什么。”