VR ve AR Açısından Güvenlik ve Gizlilik riskleri nelerdir

Artırılmış gerçeklik (AR) ve sanal gerçeklik (VR) nedir?

Artırılmış gerçeklik (AR) ve sanal gerçeklik (VR) birbiriyle yakından ilişkilidir ancak aynı değildir. Artırılmış gerçeklik, gerçek dünya görünümüne görsel, işitsel veya duyusal öğeler ekleyerek gerçek dünyayı geliştirir veya büyütür. Son yılların en ünlü AR örneklerinden biri popüler oyun Pokémon Go oldu.

Sanal gerçeklikte ise mevcut dünyaya herhangi bir şey eklemek yerine kendi yeni bir siber ortamı oluşturulur. Sanal gerçeklik, genellikle ekranda içerik izlemek yerine başlık veya gözlük gibi bir arabirim aracılığıyla tecrübe edilir.

Karma gerçeklik (MR) artırılmış gerçekliğe biraz benzer ancak mekânsal olarak duyarlı ve tepkisel 3D dijital içerik yansıtmak suretiyle daha da ileri gider. Kullanıcılar MR ile fiziksel ve sanal öğelerle ve ortamlarla etkileşim kurabilir ve yönlendirebilir; örneğin sanal bir top gerçek bir masadan veya duvardan sekebilir.

VR, AR ve MR için şemsiye terim genişletilmiş gerçekliktir (XR). XR donanımları, yazılımları ve hizmetleri için küresel pazar her yıl daha da büyüyor. Ancak bu teknolojilerin hızlı bir yükselişe geçmesi, bazı tüketicileri ne tür gizlilik ve güvenlik sorunlarının ortaya çıkabileceği sorusu ile karşı karşıya bıraktı.

Artırılmış gerçeklikle ilgili güvenlik ve gizlilik sorunları

AR ile ilgili endişeler

Artırılmış gerçeklik söz konusu olduğunda insanların en büyük tehlike olarak gördüğü konulardan biri gizliliktir. AR teknolojileri kullanıcının ne yaptığını görebildiği için kullanıcının gizliliği risk altındadır. AR, kullanıcının kim olduğu ve ne yaptığı hakkında, sosyal medya ağlarına veya diğer teknolojilere göre çok daha fazla bilgi toplar. Bu da çeşitli endişelerin ve soruların ortaya çıkmasına neden olmakta:

• Bilgisayar korsanları bir cihaza erişim sağlamayı başarırsa gizlilik kaybı riski çok büyüktür.
• AR şirketleri kullanıcılardan topladıkları bilgileri nasıl kullanıyor ve güvenliği nasıl sağlıyor?
• Şirketler, artırılmış gerçeklik verilerini nerede saklıyor? Yerel olarak cihazlarda mı yoksa bulutta mı? Buluta gönderilen veriler şifreleniyor mu?
• AR şirketleri bu verileri üçüncü taraflarla paylaşıyor mu? Peki, bu şirketler bu verileri nasıl kullanıyor?

Güvenilir olmayan içerik

AR tarayıcıları, artırma sürecini kolaylaştırır. Diğer taraftan içerik, üçüncü taraf tedarikçiler ve uygulamalar tarafından oluşturulur ve sunulur. AR nispeten yeni bir alan olduğundan ve kimliği doğrulanmış içerik oluşturma ve iletim mekanizmaları hala geliştirilmekte olduğundan, bu durum güvenilirlik sorunlarını da beraberinde getiriyor. İleri düzey bilgisayar korsanları, kullanıcının AR'sini kendi AR’lerinden biri ile değiştirebilir, insanları yanlış yönlendirebilir veya onlara yanlış bilgiler verebilir.

Bazı siber tehditler, kaynak gerçek olsa bile içeriği güvenilmez hale getirebilir. Bu tip siber tehditler arasında kimlik sahtekarlığı, dinleme ve veri manipülasyonu sayılabilir.

Sosyal mühendislik

İçeriğin olası güvenirliği göz önüne alındığında, artırılmış gerçeklik sistemleri sosyal mühendislik saldırılarının bir parçası olarak kullanıcıları aldatmak için etkili bir araç olabilir. Örneğin, bilgisayar korsanları sahte işaretler veya ekranlar aracılığıyla kullanıcıların gerçekliğe dair algılarını bozarak onları korsanlara fayda sağlayacak eylemlere yönlendirebilir.

Kötü amaçlı yazılım

AR korsanları, reklam yoluyla uygulamalara kötü amaçlı içerik yerleştirebilir. Hiçbir şeyden haberi olmayan kullanıcılar, kötü amaçlı web sitelerine veya güvenilir olmayan görseller sunan kötü amaçlı yazılım bulaşmış AR sunucularına yönlendiren reklamlara tıklayarak AR güvenliğini tehlikeye atabilir.

Ağ kimlik bilgilerinin çalınması

Suçlular, Android ile çalışan giyilebilir cihazlardan ağ kimlik bilgilerini çalabilir. Artırılmış gerçeklik ve sanal gerçeklik alışveriş uygulamalarını kullanan satıcılar için korsanlık bir siber tehdit olabilir. Birçok müşterinin kart bilgileri ve mobil ödeme çözümleri zaten kullanıcı profillerine kayıtlıdır. Mobil ödeme son derece kolay bir prosedür olduğundan korsanlar bu hesaplara erişebilir ve onları ele geçirebilir.

Hizmet reddi

Diğer bir olası AR güvenlik saldırısı da hizmet reddidir. Böyle bir durumda örneğin işleri için AR uygulamalarına bel bağlayan kullanıcılar birdenbire bilgi akışından kopabilir. Bu özellikle işlerini gerçekleştirmek için bu teknolojiyi kullanan profesyoneller için tehlikelidir çünkü bilgilere erişim sağlanamaması çok ciddi sonuçlar doğurabilir. Örneğin bir cerrah AR gözlüklerindeki önemli gerçek zamanlı bilgilere erişimini aniden kaybedebilir veya AR özellikli ön camı aniden siyah ekrana dönüşen bir sürücü birdenbire yol görüşünden mahrum kalabilir.

İki bağlantı noktası arasındaki bağlantıyı izinsiz izleme saldırıları

Ağ saldırganları, AR tarayıcısı ile AR sağlayıcısı, AR kanal sahipleri ve üçüncü taraf sunucular arasındaki iletişimi dinleyebilir. Bu tip saldırılara iki bağlantı noktası arasındaki bağlantıyı izinsiz izleme saldırıları adı verilir.

Fidye yazılımları

Bilgisayar korsanları, bir kullanıcının artırılmış gerçeklik cihazına erişim sağlayabilir ve onun AR ortamındaki davranışlarını ve etkileşimlerini kaydedebilir. Daha sonra, kullanıcı fidye ödemediği sürece bu kayıtları halka açık olarak yayınlamakla tehdit edebilir. Bu durum, oynadıkları oyunların ve diğer AR etkileşimlerinin herkesçe bilinmesini istemeyen kişiler için utanç verici veya tedirgin edici olabilir.

Fiziksel hasar

Giyilebilir AR cihazları için en önemli AR güvenlik açıklarından biri fiziksel hasardır. Bazı giyilebilir cihazlar diğerlerinden daha dayanıklıdır ancak tüm cihazlarda fiziksel güvenlik açıkları vardır. Onları fonksiyonel ve güvenli tutmak, örneğin kolayca kaybolabilecek ya da çalınabilecek bir başlığı ortalıkta bırakmamak, güvenliğin önemli bir yönüdür.

Sanal gerçeklik tehlikeleri ve güvenlik sorunları

VR güvenlik tehditleri AR'den biraz farklıdır, çünkü VR kapalı ortamlarla sınırlıdır ve gerçek fiziksel dünyayla etkileşim içermez. Her ne olursa olsun, VR başlıkları kullanıcının tüm görüşünü kapsar ve bu durum bilgisayar korsanlarının cihazı ele geçirmesi durumunda tehlikeli olabilir. Örneğin, içerikte takan kullanıcıda baş dönmesi veya bulantıya neden olacak şekilde değişiklik yapılması mümkün olabilir.

VR ile ilgili endişeler

AR'de olduğu gibi, gizlilik VR için de önemli bir endişe kaynağıdır. Toplanan verilerin, yani iris veya retina taramaları, parmak izleri ve el izleri, yüz geometrisi ve ses izleri gibi biyometrik verilerin son derece kişisel doğası, önemli bir VR gizlilik sorunudur. Örnekler:

• Parmak izleme: Sanal dünyada, kullanıcı el hareketlerini gerçek dünyada olduğu gibi kullanabilir; örneğin, sanal tuş takımında kodu yazmak için parmaklarını kullanabilir. Ancak bu, sistemin, bir PIN kodunu yazan parmakları gösteren parmak izleme verilerini kaydettiği ve aktardığı anlamına gelir. Saldırgan bu verileri yakalayabilirse kullanıcının PIN'ini yeniden oluşturabilir.
• Göz izleme: Bazı VR ve AR başlıkları göz izleme de yapabilir. Bu tür veriler kötü amaçlı kişiler için değerli olabilir. Tam olarak neye baktığını tam olarak bilmek, bir saldırganın kullanıcının değerli bilgilerini açığa çıkarmasına ve böylece kullanıcı eylemlerini yeniden oluşturmasına yardımcı olabilir.

İnsanların benzersiz hareket şekilleri olduğundan VR ve AR izleme verilerini anonim hale getirmek neredeyse imkansızdır. Araştırmacılar, VR başlıklarında toplanan davranışsal ve biyolojik bilgileri kullanarak çok yüksek bir doğrulukla tanıma elde edebiliyor ve bu da VR sistemlerinin ele geçirilmesi halinde gerçek bir sorun teşkil edebilir.

Posta kodları, IP adresleri ve ses izleri gibi VR ve AR izleme verileri de potansiyel “kişisel olarak tanımlanabilir bilgiler” (PII) olarak kabul edilmelidir. Harici taraflar bu bilgileri bir kişinin kimliğini tek başına veya diğer kişisel veya tanımlayıcı bilgilerle birleştirerek tespit etmek veya izlemek için kullanabildiğinden, bunlar PII olarak kabul edilebilir. Bu, VR gizliliğini önemli bir konu haline getirir.

Fidye yazılımları

Saldırganlar, VR platformlarına özel olarak tasarlanmış çeşitli özellikler ekleyerek kullanıcıları kişisel bilgilerini vermeye ikna edebilir. AR’de olduğu gibi, burada da fidye yazılımı saldırıları için uygun bir ortam oluşur. Çünkü kötü niyetli kişiler bir fidye istemek için platformları sabote edebilir.

Sahte kimlikler veya “deepfake”

Makine öğrenimi teknolojileri, sesleri ve videoları orijinal çekimler gibi görünebilecek şekilde değiştirmeyi mümkün kılar. Bir bilgisayar korsanı, bir VR başlığından hareket izleme verilerine erişmek mümkün olduğundan, bu verileri bir dijital kopya (“ deepfake” olarak da bilinir) oluşturmak için kullanabilir ve bu amaçla VR güvenliğini aşmayı amaçlayabilir. Daha sonra bir sosyal mühendislik saldırısı gerçekleştirmek için bunu başkasının VR deneyimine yerleştirmek mümkün olabilir.

Siber güvenliğin yanı sıra, en büyük sanal gerçeklik tehlikelerinden biri de kullanıcının dış dünyayla görsel ve işitsel bağlantısını tamamen engellemesidir. Öncelikle kullanıcının ortamının fiziksel güvenliğini ve emniyetini değerlendirmek her zaman önemlidir. Bu, kullanıcıların özellikle daha sürükleyici ortamlarda çevreleri hakkında iyi bir farkındalığa sahibi olmaları gereken AR için de geçerlidir.

Eleştirmenlerin sanal gerçekliğin olumsuz yönleri olarak tanımladığı VR ile ilgili diğer sorunlar arasında şunlar sayılabilir:

• Aşırılık potansiyeli.
• Baş dönmesi, mide bulantısı veya uzamsal farkındalık eksikliği gibi sağlık etkileri (uzun süreli VR kullanımından sonra).
• İnsanlarla bağlantının kaybedilmesi.

AR ve VR örnekleri

Artırılmış gerçeklik, sanal gerçeklik ve karışık gerçeklik için hali hazırda çok çeşitli kullanım alanı vardır ve bu alanlar gittikçe artmaktadır. Bunlar:

• Oyun – birinci şahıs nişancı oyunlarından strateji ve rol yapma oyunlarına kadar. En ünlü AR oyunu muhtemelen Pokémon Go'dur.
• Profesyonel sporlar – hem profesyonel hem de amatör sporculara yardımcı olan antrenman programları.
• Sanal seyahatler – Hayvanat bahçeleri, safari parkları, sanat müzeleri gibi turistik yerlerde evden çıkmadan sanal gezintiler.
• Sağlık – örneğin cerrahi simülasyonlar kullanarak tıbbi profesyonellerin eğitim almasına olanak sağlamak.
• Film ve TV – filmler ve televizyon programları için gelişmiş deneyimler.

Bu teknoloji daha ciddi alanlarda da kullanılır. Örneğin, ABD Ordusu askerlere yönelik eğitim görevlerini dijital olarak geliştirmek için kullanırken, Çin'de de polis zanlıları tespit etmek için kullanıyor.

Oculus gizlilik sorunları

Oculus, en iyi bilinen VR başlıklarından ve VR oyun geliştirmelerini büyük ölçekte destekleyen birkaç şirketten biridir. Facebook 2014 yılında şirketi satın aldı ve 2020 yılında, gelecekteki VR başlıkları için Facebook ile oturum açma gerekeceğini duyurdu. Bu gelişme, Oculus'un gizliliği hakkında büyük bir tartışma başlattı.

Kararı eleştirenler, Facebook'un verileri nasıl topladığı, depoladığı ve daha fazla reklam hedefleme potansiyeli elde edecek olmasının yanı sıra bazı kişilerin aslında kullanmayı seçmemiş olabileceği bir hizmeti kullanmaya zorlanması konusundaki endişelerini dile getirdi. Bu duyuru üzerine gizlilik bilincine sahip çok sayıda kullanıcı Oculus güvenliğinin artık endişe verici olduğunu ve Oculus başlıklarını kullanmayacaklarını belirten paylaşımlarda bulundu. Ancak yorumcular, uzun vadede Oculus'u engellemenin zor olduğunu düşünüyor.

İpuçları: VR ve AR sistemlerini kullanırken nasıl güvende olursunuz

Çok kişisel bilgileri açıklamaktan kaçının

Çok kişisel veya açıklanması gerekmeyen bilgileri açıklamayın. Bir hesap açmak için e-posta adresinizi vermekle bir şey satın almadığınız halde kredi kartınızı vermek kesinlikle aynı şey değildir.

Gizlilik politikalarını gözden geçirin

Bazen uzun veri gizliliği politikalarını veya hüküm ve koşulları es geçmek kolaydır. Ancak, AR ve VR platformlarının arkasındaki şirketlerin verilerinizi nasıl depoladıklarını ve bunlarla ne yaptıklarını öğrenmeye değer. Örneğin, verilerinizi üçüncü taraflarla paylaşıyorlar mı? Ne tür veriler paylaşıyor ve topluyorlar?

Bir VPN kullanın

İnternet üzerinde kimliğinizi ve verilerinizi gizli tutmanın yollarından biri de bir VPN hizmeti kullanmaktır. Hassas bilgileri açıklamanız gerekmesi halinde VPN kullanmak, bu bilgilerin tehlikeye atılmasını önlemek adına sizi koruyabilir. Gelişmiş şifreleme ve değiştirilmiş IP adresi, kimliğinizi ve verilerinizi gizli tutmak için birlikte çalışır. AR ve VR'deki gelişmelerle birlikte, VPN modeli de bu teknolojik yeniliklere adapte olacaktır.

Aygıt yazılımlarınızı güncel tutun

VR başlıklarınız ve AR giyilebilir ürünleriniz için aygıt yazılımını güncel tutmak çok önemlidir. Güncellemeler, yeni özellikler eklemenin ve mevcut özellikleri geliştirmenin yanı sıra güvenlik kusurlarının düzeltilmesine de yardımcı olur.

Kapsamlı bir antivirüs yazılımı kullanın

Genel olarak, çevrimiçi ortamda güvende kalmanın en iyi yolu proaktif bir siber güvenlik çözümü kullanmaktır. Kaspersky Total Security gibi bir çözüm, çok sayıda çevrimiçi tehdide karşı güçlü koruma sağlar. Virüsler, kötü amaçlı yazılımlar, fidye yazılımları, casus yazılımlar, kimlik avı ve yeni ortaya çıkan diğer internet güvenliği tehditleri gibi.

İlgili Makaleler:

• Çevrimiçi Oyun Dolandırıcılığı – Güvende Kalma
• Çocuklar için En Büyük 7 Çevrimiçi Oyun Tehlikesi
• IoT nedir? IoT Güvenliği için İpuçları
• Pandemi Sırasında Çevrimiçi Oyun Dolandırıcılığı - Güvende Kalmak