HumbangNews.Id | Peneliti di Rutgers University-New Brunswick merilis "Face-Mic," penelitian pertama yang meneliti bagaimana fitur perintah suara pada headset realitas virtual dapat memicu kebocoran privasi besar, yang dikenal sebagai "serangan penyadapan."
Penelitian ini menunjukkan bahwa peretas dapat menggunakan headset realitas virtual (AR/VR) populer dengan sensor gerak bawaan untuk merekam dinamika wajah terkait ucapan dan gerakan halus untuk mencuri informasi sensitif yang dikomunikasikan melalui perintah suara, termasuk data kartu kredit dan kata sandi.
Baca Juga:
Sepanjang 2022, Dewas KPK Terima Pemberitahuan 1.460 Penyadapan
Sistem AR/VR yang umum ada di pasaran termasuk merek-merek populer seperti Oculus Quest 2, HTC Vive Pro, dan PlayStation VR.
Dipimpin Yingying "Jennifer" Chen, direktur asosiasi WINLAB dan direktur pascasarjana Teknik Elektro dan Komputer di Rutgers University-New Brunswick, penelitian ini akan dipresentasikan pada Konferensi Internasional tahunan tentang Komputasi dan Jaringan Seluler pada bulan Maret. Kolaborator penelitian lainnya termasuk Nitesh Saxena dari Texas A&M University dan Jian Liu di University of Tennessee di Knoxville.
Untuk menunjukkan adanya kerentanan keamanan, Chen dan rekan peneliti WINLAB mengembangkan serangan penyadapan yang menargetkan headset AR/VR, yang dikenal sebagai "Face-Mic", seperti dikutip dari Rutgers University, Sabtu (12/2/2022).
Baca Juga:
Ingin Status WhatsApp Hanya Dilihat Orang Tertentu? Ini Caranya!
"Face-Mic adalah penelitian pertama yang menyimpulkan bahwa informasi pribadi dan sensitif dengan memanfaatkan dinamika wajah memiliki keterkaitan dengan ucapan manusia secara langsung saat menggunakan perangkat AR/VR yang dipasang di wajah," kata Chen. "Penelitian kami menunjukkan bahwa Face-Mic dapat memperoleh informasi sensitif pemakai headset dengan empat headset AR/VR utama, termasuk yang paling populer: Oculus Quest dan HTC Vive Pro."
Para peneliti mempelajari tiga jenis getaran yang ditangkap oleh sensor gerak headset AR/VR, termasuk gerakan wajah terkait ucapan, getaran yang ditularkan melalui tulang, dan getaran di udara. Chen mencatat bahwa getaran yang terbawa tulang khususnya dikodekan dengan detail gender, identitas, dan informasi ucapan.
"Dengan menganalisis dinamika wajah yang ditangkap dengan sensor gerak, kami menemukan bahwa baik headset karton maupun headset kelas atas mengalami kerentanan keamanan, mampu mengungkapkan informasi sensitif ucapan dan pembicara pengguna tanpa izin," kata Chen.
Meskipun vendor biasanya memiliki kebijakan mengenai penggunaan fungsi akses suara di mikrofon headset, penelitian Chen menemukan bahwa sensor gerak bawaan, seperti akselerometer dan giroskop dalam headset VR, tidak memerlukan izin apa pun untuk mengakses. Kerentanan keamanan ini dapat dimanfaatkan oleh pelaku jahat yang berniat melakukan serangan penyadapan.
Penyerang penyadapan juga dapat memperoleh konten ucapan sederhana, termasuk angka dan kata, untuk menyimpulkan informasi sensitif, seperti nomor kartu kredit, nomor Jaminan Sosial, nomor telepon, nomor PIN, transaksi, tanggal lahir, dan kata sandi. Mengekspos informasi tersebut dapat menyebabkan pencurian identitas, penipuan kartu kredit dan kebocoran informasi rahasia dan perawatan kesehatan.
Chen mengatakan begitu pengguna telah diidentifikasi oleh peretas, serangan penyadapan dapat menyebabkan paparan lebih lanjut terhadap informasi sensitif dan gaya hidup pengguna, seperti riwayat perjalanan AR/VR, preferensi game/video, dan preferensi belanja.
Pelacakan tersebut membahayakan privasi pengguna dan dapat menguntungkan bagi perusahaan periklanan.
Oculus Quest, misalnya, mendukung dikte suara untuk memasukkan alamat web, mengontrol headset, dan menjelajahi produk komersial. Penelitian Face-Mic Rutgers menunjukkan bahwa peretas dapat memanfaatkan sensor tanpa izin ini untuk menangkap informasi sensitif, yang menyebabkan kebocoran privasi yang parah.
Chen mengatakan dia berharap temuan ini akan meningkatkan kesadaran di masyarakat umum tentang kerentanan keamanan AR/VR dan mendorong produsen untuk mengembangkan model yang lebih aman.
"Mengingat temuan kami, produsen headset VR harus mempertimbangkan langkah-langkah keamanan tambahan, seperti menambahkan bahan elastis di penutup pengganti busa dan ikat kepala, yang dapat melemahkan getaran wajah terkait ucapan yang akan ditangkap oleh akselerometer/giroskop bawaan," katanya.
Chen dan rekan-rekan WINLAB-nya sekarang sedang memeriksa bagaimana informasi getaran wajah dapat mengotentikasi pengguna dan meningkatkan keamanan, dan bagaimana headset AR/VR dapat menangkap pernapasan dan detak jantung pengguna untuk mengukur keberadaan dan keadaan suasana hati secara tidak mencolok. [as/qnt]