Meskipun vendor biasanya memiliki kebijakan mengenai penggunaan fungsi akses suara di mikrofon headset, penelitian Chen menemukan bahwa sensor gerak bawaan, seperti akselerometer dan giroskop dalam headset VR, tidak memerlukan izin apa pun untuk mengakses. Kerentanan keamanan ini dapat dimanfaatkan oleh pelaku jahat yang berniat melakukan serangan penyadapan.
Penyerang penyadapan juga dapat memperoleh konten ucapan sederhana, termasuk angka dan kata, untuk menyimpulkan informasi sensitif, seperti nomor kartu kredit, nomor Jaminan Sosial, nomor telepon, nomor PIN, transaksi, tanggal lahir, dan kata sandi. Mengekspos informasi tersebut dapat menyebabkan pencurian identitas, penipuan kartu kredit dan kebocoran informasi rahasia dan perawatan kesehatan.
Baca Juga:
6 Juta Data NPWP Diduga Bocor, Termasuk Milik Jokowi dan Gibran di Daftar Utama!
Chen mengatakan begitu pengguna telah diidentifikasi oleh peretas, serangan penyadapan dapat menyebabkan paparan lebih lanjut terhadap informasi sensitif dan gaya hidup pengguna, seperti riwayat perjalanan AR/VR, preferensi game/video, dan preferensi belanja.
Pelacakan tersebut membahayakan privasi pengguna dan dapat menguntungkan bagi perusahaan periklanan.
Oculus Quest, misalnya, mendukung dikte suara untuk memasukkan alamat web, mengontrol headset, dan menjelajahi produk komersial. Penelitian Face-Mic Rutgers menunjukkan bahwa peretas dapat memanfaatkan sensor tanpa izin ini untuk menangkap informasi sensitif, yang menyebabkan kebocoran privasi yang parah.
Baca Juga:
Manfaat Data dari Smartwatch Diungkap Pakar, Apa Saja?
Chen mengatakan dia berharap temuan ini akan meningkatkan kesadaran di masyarakat umum tentang kerentanan keamanan AR/VR dan mendorong produsen untuk mengembangkan model yang lebih aman.
"Mengingat temuan kami, produsen headset VR harus mempertimbangkan langkah-langkah keamanan tambahan, seperti menambahkan bahan elastis di penutup pengganti busa dan ikat kepala, yang dapat melemahkan getaran wajah terkait ucapan yang akan ditangkap oleh akselerometer/giroskop bawaan," katanya.
Chen dan rekan-rekan WINLAB-nya sekarang sedang memeriksa bagaimana informasi getaran wajah dapat mengotentikasi pengguna dan meningkatkan keamanan, dan bagaimana headset AR/VR dapat menangkap pernapasan dan detak jantung pengguna untuk mengukur keberadaan dan keadaan suasana hati secara tidak mencolok. [qnt]