Mentre la realtà aumentata (AR) e la realtà virtuale (VR) sono concepite come la prossima iterazione di Internet che ci immerge in nuovi mondi digitali, l’hardware associato delle cuffie e le interfacce della tastiera virtuale creano nuove opportunità per gli hacker.

Almeno questo è quanto emerge dai risultati degli scienziati informatici dell’Università della California, Riverside, che sono dettagliati in due documenti presentati all’annuale Usenix Security Symposium, una delle principali conferenze internazionali sulla sicurezza informatica.

La tecnologia emergente del metaverso, ora in fase di intenso sviluppo da parte di Mark Zuckerberg di Facebook e altri titani della tecnologia, si basa su visori che interpretano i nostri movimenti corporei (allungamenti, cenni, passi e battiti delle palpebre) per navigare in nuovi mondi di AR e VR per giocare, socializzare, incontrare colleghi e magari fare acquisti o condurre altre forme di attività. Tuttavia, il team di informatici ha dimostrato che lo spyware può osservare e registrare ogni nostro movimento e quindi utilizzare l'intelligenza artificiale per tradurre tali movimenti in parole con una precisione pari o superiore al 90%.

"Fondamentalmente, mostriamo che se si eseguono più applicazioni e una di queste è dannosa, può spiare le altre applicazioni", ha affermato uno del team. "Può spiare l'ambiente intorno a te, ad esempio mostrando le persone intorno a te e quanto sono lontane. E può anche esporre all'aggressore le tue interazioni con l'auricolare."

Ad esempio, se ti prendi una pausa da un gioco virtuale per controllare i tuoi messaggi di Facebook digitando la password su una tastiera virtuale generata dall'auricolare, lo spyware potrebbe catturare la tua password. Allo stesso modo, le spie potrebbero potenzialmente interpretare i movimenti del tuo corpo per ottenere accesso alle tue azioni durante un incontro virtuale in cui vengono divulgate e discusse informazioni riservate.

Il primo articolo è intitolato "È tutto nella tua testa (set): attacchi del canale laterale ai sistemi AR/VR" e spiega in dettaglio come gli hacker possono recuperare i gesti delle mani, i comandi vocali e i tasti premuti di una vittima su una tastiera virtuale, con una precisione superiore al 90%. Il documento mostra inoltre come le spie possano identificare le applicazioni non appena vengono avviate e percepiscono altre persone in piedi vicino all'utente dell'auricolare con una precisione della distanza di circa 4 pollici (10,3 cm).

Il secondo articolo, "Esaminando i movimenti: keylogging AR/VR dai movimenti della testa dell'utente", approfondisce il rischio per la sicurezza derivante dall'utilizzo di una tastiera virtuale. Mostra inoltre come i sottili movimenti della testa effettuati dagli utenti che digitano su tastiere virtuali siano sufficienti affinché le spie possano dedurre il testo che viene digitato. I ricercatori hanno quindi sviluppato un sistema, denominato TyPose, che utilizza l’apprendimento automatico per estrarre questi segnali di movimento della testa per dedurre automaticamente le parole o i caratteri che un utente sta digitando.

Si prevede che entrambi i documenti informeranno il settore tecnologico sui propri punti deboli in termini di sicurezza informatica. "Dimostriamo la fattibilità degli attacchi e poi facciamo una divulgazione responsabile", ha detto uno dei informatici. "Diciamo alle aziende che questo è ciò che siamo stati in grado di fare. E poi diamo loro il tempo di vedere se vogliono risolvere il problema prima di pubblicare i nostri risultati."