由于Metaverse元宇宙被视为3D版的次世代互联网,所以不但会完全承接当前互联网上的各种安全威胁与漏洞,预计黑客也将会很快发展出元宇宙专属的各式攻击。但最可怕的是,元宇宙安全威胁的来源不仅止于黑客,连厂商也会大张旗鼓地凑一脚,他们会举起提升服务及体验品质的大旗,间接地和黑客分头造就出一个毫无个人隐私的3D数字国度。
面对标榜“无限用户上线”的元宇宙,不但厂商心动,连黑客也兴奋地调转枪头准备在元宇宙中放手一搏;再加上元宇宙特有的“长时间登录”使用习性,更一再地传提交“商机无限”与“无穷攻击价值”的强烈消息,厂商与黑客都恨不得元宇宙能立马来到。
不过,即使迅速将公司名称改成“Meta”的Facebook,也表示元宇宙的普及还要15年的时间,这说明了元宇宙的来到还要等上一段时间。毕竟元宇宙不像产品发布会有精准的时间点,而会从不同技术、应用与产业等层面的不断发展而逐渐趋于成熟/成形。
事实上,如今元宇宙早已踏出了普及之路的第一步,我们从许多大厂的积极布局,以及元宇宙概念股的火热就可以说明一切。同样的,恶意攻击者也开始从元宇宙概念验证攻击中累计经验、磨练手法。可以预见的,在厂商与黑客的两路包夹下,身处元宇宙之中的用户将面临有史以来最严峻的隐私与个人信息挑战,对此,我们该如何有效应对?并率先在哪些面向做好准备?接下来就让我们一同深入探讨。
个人信息滥用与隐私侵犯
早在元宇宙之前,AR/VR就成为厂商搜集用户个人信息的利器,人们最常质疑的问题包括:AR/VR厂商如何保护从用户身上搜集到的资料?这些厂商是将资料存储在本地设备端,还是云计算上?传输中及存储中的资料是否有加密?这些资料是否会分享给第三方合作伙伴?分享的目的及作用为何?
由于AR常沦为偷拍者侵犯/偷窥他人隐私的利器,不禁让人们身陷全民狗仔的恐惧中。除此之外,AR也成为偷录电影或窃取公司机密的利器,商业利益及公司竞争力恐将在不知不觉中遭到破坏。
AR眼镜可以方便地录下眼前景观,但这也可能沦为偷拍者的利器。图为Meta/Facebook与雷朋联名的AR眼镜(Source:Facebook)
这些疑问不但会在元宇宙中再次出现,厂商从用户身上所搜集资料的程度、面向及范畴将更胜以往,但凡用户在元宇宙中的一举一动、视线所及的一切、目光焦点停留处及时间,乃至活动类型、消费喜好、购买力、社群交互、娱乐取向、交易标的、男女性向及生物识别资料等全被元宇宙厂商掌握殆尽,而且厂商只会鼓舌如簧地辩驳,这一切全为了提升用户体验并提供更好的服务品质。
沉浸在元宇宙各种形形色色应用与活动的用户,会突然意识到自己深陷在一个既无隐私,也没安全保障的3D虚拟世界里。因为黑客也能通过社交工程、网络钓鱼及恶意软件等工具及手法盗用用户账号或窃取生物识别资料等个人信息。不仅如此,用户可能在未来某日突然惊觉自己的行为及交互完全被元宇宙厂商主导与控制,毕竟厂商手上掌握了有史以来最大细靡遗的个人信息与隐私,自然能更精准分析甚至塑造用户的需求及行为。过去失败的“剑桥分析事件”,将在元宇宙中成功翻版。
Facebook过去曾爆发剑桥分析事件丑闻。 (Source:Wikimedia)
不安全App沦为黑客劫持账号与DDoS攻击渠道
元宇宙在发展过程中,势必会不断冒出各种形形色色的游戏、购物、社交、工作、视频会议、股票/虚拟货币/NFT交易等App,他们是唤起用户加入元宇宙意愿的最佳催化剂。正因为如此,确保App账号及访问安全将会是元宇宙相关应用服务的第一优先事项,毕竟实体世界App常见的身份盗用及账号劫持问题,一样会依样画葫芦地在元宇宙中出现。尤其对一心牟利的黑客而言,真正具备攻击价值的并非PII个人识别信息,而是账号。因为黑客可以将内置破关进度或宝物的账号在网上销售。
如今Goolge Play上不时会出现许多恶意App,所以届时元宇宙上除了可能充斥大量不安全的App之外,也会涌现大量的免费App,这些App有可能成为潜藏广告及恶意软件的温床。此外,黑客也可能通过对特定元宇宙App或服务发动DDoS攻击来要胁厂商。
NFT安全攻防将成元宇宙重大安全问题
毋庸置疑的,具备不可替代性与不可分割性的NFT非同质化化币,将成为元宇宙用户作为虚拟土地、房子、汽车等资产,抑或虚拟头像的最佳独一无二权益证明,这点从元宇宙还没“真正上演”,NFT就已在当前网络上“轰动万教”说明一切。如此热门的NFT,自然成为黑客的最新攻击目标,事实上,黑客的确已找到窃取NFT的方法,并在网上销售NFT形式的零时差漏洞攻击工具。另外值得注意的是,当前网络上并有假NFT在网上销售的案例,所以NFT安全攻防必定会是今后元宇宙里的重大安全问题之一。
台湾罗芙奥艺术集团在台湾举办的首场《All IN: NFT Curated–New Flow of Tweet》NFT拍卖会中开卖稀有的BAYC无聊猿NFT头像。 (Source:Hyperbeast)
当前NFT市场上,除了虚拟资产、艺术品不断缔造令人咋舌的交易价格记录之外,就数Avatar虚拟头像最为火热,例如仅有24个超稀有的Cryptopunks猴子,一个要价就破千万美元,如此身价自然会激起黑客攻击的强烈欲望。但动起NFT虚拟头像歪脑筋的不仅止于黑客,之前就有Roblox用户账号被川普支持者劫持,导致自己专属虚拟头像穿上川普支持者所穿戴的衣帽,这让用户的虚拟头像成了政治或商业宣传的工具。
入侵人手一机的AR/VR设备成为家常便饭
在实体世界时有VR/AR被黑案例,未来在人手一机的元宇宙中恐怕更容易发生,同时VR/AR与元宇宙服务器/应用服务之间的连接也可能遭到劫持,黑客可借此对正在进行中的交易程序发动中间人攻击。为了避免VR/AR设备或App所发送资料遭到黑客拦劫,加密或VPN便成为必要的基本防护措施。
未来人手一机的AR/VR有可能沦为黑客攻击的目标或跳板。 (Source:Kaspersky)
任何设备都有可能被植入恶意软件,VR/AR设备自然也不例外,更何况目前似乎没有针对AR/VR的安全防护产品。总之,黑客可借此启动设备上的摄影机或录音机,进而搜集用户视线中的一切图片与声音资料,或借此破获可泄露重要工作场合凭证的相关信息。
最黑人听闻的,安全技术人员证实黑客甚至可以改变用户眼前看到的东西,进而诱使用户执行有利于黑客的勾当,甚或故意制造像谍战电影中让人身陷受伤或死亡的意外。再者,黑客也有可能通过恶意软件锁死用户设备,用户只有付赎金才能恢复正常使用。
除了上述可能风险之外,未来元宇宙将成为厂商打广告的圣地,因为厂商可以轻易地将广告传播在用户视线所及的建筑物、街道、地面、墙壁、交通工具,甚至天空及行人前胸/后背上,所以元宇宙将成为广告无所不在的泛滥国度。
再者,过去常常传出有口袋妖怪玩家太入迷,结果掉进池溏、水沟的惨剧发生,同样的实体安全问题,恐怕在元宇宙时代里会更严重。用户若在特定场景玩得太过入迷,也有可能导致坏人趁机偷取财物的状况发生。
过去曾有媒体报道口袋妖怪玩家因为分心而造成多起交通事故,甚至死亡事件。 (Source:Newscientist)
总而言之,元宇宙的隐私及个安全全,有待长时间法律面与协议面的重新修订与增订。有趣的是,11/2日Meta/Facebook宣布展开为期两年共投资5,000万美元的“XR计划”(XR Programs and Research Fund),以致力元宇宙的安全。一家过去在个人信息及隐私权毫无信用可言的公司,竟然侈言元宇宙的未来安全,这就好比全球头号黑客宣布要促进全球信息安全一样毫无公信力,岂非可笑之至?
(首图来源:华纳兄弟台湾)