蘇令銀

(上海師范大學(xué)馬克思主義學(xué)院,上海 200234)

自20世紀(jì)60年代起,當(dāng)Ivan Sutherland描繪顯示三維信息的透明頭戴式顯示器時,研究人員就已經(jīng)在探索增強(qiáng)現(xiàn)實技術(shù)的想法[1]。從20世紀(jì)90年代起,增強(qiáng)現(xiàn)實技術(shù)作為研究領(lǐng)域已將重點集中在克服顯示技術(shù)、跟蹤和配準(zhǔn)方面的難題,以便正確對齊虛實對象、用戶界面和人為因素、輔助傳感設(shè)備,以及新型增強(qiáng)現(xiàn)實應(yīng)用程序的設(shè)計[2]。但是,直到最近,早期出現(xiàn)的增強(qiáng)現(xiàn)實技術(shù)才開始投入商用。例如,Google最新推出了支持增強(qiáng)現(xiàn)實應(yīng)用程序的有限數(shù)量的Google Glass“平視”眼鏡。很多其他早期增強(qiáng)現(xiàn)實應(yīng)用程序也因智能手機(jī)和其他移動設(shè)備的普及而得到運用。這方面的例子包括Word Lens iPhone應(yīng)用程序以及Lay增強(qiáng)現(xiàn)實。前者將翻譯后的文字疊加到相機(jī)的外語文字上;后者則是基于地理位置的增強(qiáng)現(xiàn)實平臺,供開發(fā)者創(chuàng)建增強(qiáng)現(xiàn)實層,用于游戲等各種領(lǐng)域。最近在手機(jī)中出現(xiàn)的1GHz處理器、位置傳感器以及高分辨率自動對焦相機(jī)已使這些應(yīng)用成為可能。

我們將從寬泛的角度探討增強(qiáng)現(xiàn)實領(lǐng)域,既考慮增強(qiáng)現(xiàn)實的直接應(yīng)用,又考慮支持這些應(yīng)用所必需的技術(shù)。除手機(jī)之外,增強(qiáng)感覺、顯示和數(shù)據(jù)共享的設(shè)備已開始出現(xiàn),它們將使更加復(fù)雜的增強(qiáng)現(xiàn)實技術(shù)成為現(xiàn)實。如,Looxcie(一種耳掛式、始終開啟的視頻攝像頭)具有使佩戴者能與世界上任何人共享實時視頻源的功能。Microsoft的SDK for Kinect[3]將RGB相機(jī)、深度相機(jī)和多陣列麥克風(fēng)結(jié)合在一起來提供精準(zhǔn)運動感知,實現(xiàn)了多種原型增強(qiáng)現(xiàn)實應(yīng)用程序。除了Google Glass之外,Vuzix、Lumus和Meta Space Glasses等多家公司出品的透明可穿戴顯示屏現(xiàn)已可供研究之用。

這些技術(shù)將使商用增強(qiáng)現(xiàn)實應(yīng)用程序成為可能,它們正處于重大創(chuàng)新的風(fēng)口浪尖,將令很多用戶受益匪淺。但是,這些技術(shù)也帶來了未曾意料的計算機(jī)安全和隱私風(fēng)險,前人的研究很少考慮這些問題。我們主張與其坐等這些技術(shù)完全成熟后再回過頭來開發(fā)安全和隱私保護(hù)措施,不如現(xiàn)在趁這些技術(shù)仍然年輕、有可塑性的時候,就考慮安全和隱私問題。為了引導(dǎo)此過程,我們提出以下問題:隨著增強(qiáng)現(xiàn)實技術(shù)及其支持技術(shù)的興起,安全和隱私研究面臨哪些新的挑戰(zhàn)?增強(qiáng)現(xiàn)實技術(shù)為改進(jìn)安全和隱私創(chuàng)造了哪些嶄新的機(jī)遇?

我們發(fā)現(xiàn)增強(qiáng)現(xiàn)實技術(shù)為計算機(jī)安全和隱私研究及相關(guān)產(chǎn)業(yè)搭建了一個重要而機(jī)會良多的新平臺。當(dāng)然,這些技術(shù)也應(yīng)充分利用標(biāo)準(zhǔn)的最佳安全方案,如設(shè)備加密和網(wǎng)絡(luò)加密。盡管如此,我們?nèi)园l(fā)現(xiàn)了一些既考驗智慧,但仍可克服的獨特障礙,包括如何處理共享一個增強(qiáng)現(xiàn)實技術(shù)輸出的多個應(yīng)用程序之間的沖突。其它挑戰(zhàn)(如數(shù)據(jù)訪問控制)在其它領(lǐng)域已經(jīng)眾所周知,但對于輸入始終開啟、始終感測的增強(qiáng)現(xiàn)實技術(shù)來說,這些挑戰(zhàn)有著更重要的意義。鑒于增強(qiáng)現(xiàn)實技術(shù)在未來的重要性,在其他領(lǐng)域已經(jīng)克服這些問題的研究者會發(fā)現(xiàn),將注意力重新集中到增強(qiáng)現(xiàn)實應(yīng)用具有重要價值。

除了提出新的挑戰(zhàn)外,增強(qiáng)現(xiàn)實技術(shù)還為可改進(jìn)安全和隱私的新應(yīng)用帶來了機(jī)遇。例如,這些技術(shù)可在個人顯示屏上提供個人的數(shù)字化內(nèi)容視圖。想象一下,一款密碼管理器可在用戶注視鍵盤時,將視覺的指示器疊放在某個復(fù)雜密碼的正確鍵上,或者一款應(yīng)用程序可在某人說謊時提醒用戶。在本文中,我們將探討增強(qiáng)現(xiàn)實技術(shù)帶來的倫理挑戰(zhàn)、防御維度,以及增強(qiáng)現(xiàn)實技術(shù)對防范現(xiàn)有倫理挑戰(zhàn)問題帶來的新機(jī)遇。

一、增強(qiáng)現(xiàn)實技術(shù)帶來的倫理挑戰(zhàn)

除了傳統(tǒng)上定義的實時配準(zhǔn)虛實對象外,我們考慮的增強(qiáng)現(xiàn)實應(yīng)用程序和技術(shù)可能具有以下任一或全部特征:(1)始終開啟的輸入設(shè)備和傳感器的復(fù)雜集合(如,相機(jī)、GPS、麥克風(fēng));(2)多個輸出設(shè)備(如,顯示屏、耳機(jī));(3)可同時運行多種應(yīng)用程序的平臺;(4)通過無線方式與其他增強(qiáng)現(xiàn)實技術(shù)進(jìn)行通信的能力。

這里,我們提出一系列由這些新技術(shù)及其應(yīng)用帶來的安全和隱私挑戰(zhàn)。我們將這些挑戰(zhàn)沿兩根軸來組織:系統(tǒng)適用范圍和功能。在一根軸上,我們考慮適用范圍逐漸擴(kuò)大的增強(qiáng)現(xiàn)實技術(shù):從單一應(yīng)用程序到單個增強(qiáng)現(xiàn)實平臺中的多個應(yīng)用程序,再到多個相互通信的增強(qiáng)現(xiàn)實技術(shù)。各類別的挑戰(zhàn)在系統(tǒng)復(fù)雜度達(dá)到這一程度時首次出現(xiàn)。對于每個范圍,我們進(jìn)一步將挑戰(zhàn)劃分為與輸入、輸出或數(shù)據(jù)訪問相關(guān)等不同類別。我們建議以后的增強(qiáng)現(xiàn)實技術(shù)設(shè)計者沿這兩根軸考慮安全和隱私挑戰(zhàn)。

熟悉智能手機(jī)安全性的讀者可能會發(fā)現(xiàn),手機(jī)安全挑戰(zhàn)與我們這里所提出的挑戰(zhàn)之間有某種重疊。我們注意到,某些智能手機(jī)安全技術(shù)可能適用于增強(qiáng)現(xiàn)實技術(shù),其他技術(shù)需要在此新背景下重新考慮。

(一)單一應(yīng)用程序的倫理挑戰(zhàn)

我們首先僅考慮單一增強(qiáng)現(xiàn)實應(yīng)用程序的威脅和倫理挑戰(zhàn)。

首先,輸出。用戶必須十分信任那些將虛擬反饋疊加于真實視覺、聽覺或觸覺感知之上的增強(qiáng)現(xiàn)實應(yīng)用程序。提供沉浸式反饋的設(shè)備可能被惡意應(yīng)用程序利用來欺騙用戶,使其錯誤認(rèn)識真實世界。例如,未來的惡意應(yīng)用程序可能在真實限速標(biāo)志上疊放不正確的限速標(biāo)志,或者在沒有標(biāo)志的地方放置虛假標(biāo)志,或者故意提供真實外語文本的錯誤譯文。更籠統(tǒng)地說,這樣的應(yīng)用程序可能欺騙用戶,使其錯誤地認(rèn)為某些物體在現(xiàn)實世界中存在或不存在。

惡意應(yīng)用程序可使用類似的技術(shù)造成用戶感官超載。應(yīng)用程序在屏幕上閃爍亮光、播放巨響的聲音,或者產(chǎn)生劇烈的觸覺反饋,這些都可能對用戶造成人身傷害。這樣的攻擊并非沒有先例:攻擊者曾針對癲癇論壇發(fā)布動態(tài)gif閃光圖,結(jié)果引起瀏覽者頭疼或癲癇發(fā)作[4]。新興的增強(qiáng)現(xiàn)實平臺必須考慮并防止這些類型的攻擊。這些輸出攻擊一旦出現(xiàn)在沉浸式增強(qiáng)現(xiàn)實應(yīng)用程序中,帶來的嚴(yán)重后果將遠(yuǎn)勝于在目前的桌面或手持式計算場景中帶來的后果,這既因為用戶更難區(qū)分虛實反饋,也因為用戶可能更難移除或關(guān)閉系統(tǒng)。作為對付輸出攻擊的最后手段,用戶必須能夠輕松可靠地返回到現(xiàn)實世界,也就是說,能確認(rèn)所有輸出設(shè)備已被關(guān)閉。

近期來看,移除系統(tǒng)是實現(xiàn)這種現(xiàn)實回歸的簡單方法,但是,未來的可穿戴系統(tǒng)可能很難甚至不可能讓用戶移除,例如隱形眼鏡或植入式設(shè)備[5];今天的不可穿戴系統(tǒng)可能已經(jīng)讓用戶難以擺脫,例如多家汽車制造商生產(chǎn)了能在用戶道路視野上顯示增強(qiáng)內(nèi)容的擋風(fēng)玻璃[6]。在這些案例中,系統(tǒng)應(yīng)該有可讓用戶返回現(xiàn)實的可信途徑,類似于Windows計算機(jī)上的Ctrl-Alt-Del。要確定此類最佳回歸順序,或者說正確的輸入模式,例如手勢或語音,需要對每種增強(qiáng)現(xiàn)實技術(shù)進(jìn)行研究。另一種方法可能是在顯示屏上保留一塊總是顯示現(xiàn)實世界的可信區(qū)域。

其次,輸入。增強(qiáng)現(xiàn)實應(yīng)用程序無疑將面臨與傳統(tǒng)應(yīng)用程序相似的輸入驗證和去害難題。例如,解析現(xiàn)實中文字的翻譯應(yīng)用程序可能被某指示牌上惡意制作的文字不當(dāng)利用。傳統(tǒng)輸入驗證技術(shù)可能仍適用,但增強(qiáng)現(xiàn)實技術(shù)的設(shè)計者應(yīng)意識到它們在這種新情況下的必要性。

最后,數(shù)據(jù)訪問。為了提供預(yù)期的功能,增強(qiáng)現(xiàn)實應(yīng)用程序可能需要訪問各種傳感器數(shù)據(jù),包括視頻和音頻、GPS數(shù)據(jù)、溫度、加速度計讀數(shù)等。與桌面和智能手機(jī)操作系統(tǒng)一樣,增強(qiáng)現(xiàn)實技術(shù)的重要挑戰(zhàn)將是,在實現(xiàn)功能所需要的訪問與應(yīng)用程序竊取數(shù)據(jù)或濫用這種訪問的風(fēng)險之間做出權(quán)衡。例如,惡意應(yīng)用程序可能向其后臺服務(wù)器泄露用戶位置或視頻?，F(xiàn)有的概念驗證性Place Raider攻擊顯示,智能手機(jī)傳感器可用來收集足夠的信息以創(chuàng)建室內(nèi)環(huán)境的三維模型。

與當(dāng)前大多數(shù)桌面和智能手機(jī)應(yīng)用程序不同的是,復(fù)雜的增強(qiáng)現(xiàn)實應(yīng)用程序需要豐富、始終開啟的傳感器。例如,自動檢測并掃描QR碼的應(yīng)用程序需要持續(xù)訪問視頻流數(shù)據(jù),而自動檢測用戶何時在另一臺設(shè)備上輸入密碼并提供密碼幫助的應(yīng)用程序也同樣如此(我們接下來將對此進(jìn)行討論)。因此,這些隱私風(fēng)險比傳統(tǒng)系統(tǒng)大得多。增強(qiáng)現(xiàn)實技術(shù)應(yīng)采取可控制這些風(fēng)險的方法。例如,個別應(yīng)用程序可能不需要訪問所有傳感器數(shù)據(jù)。當(dāng)用戶處于某個位置時,也許應(yīng)用程序只需要訪問部分屏幕,或者只需要知道系統(tǒng)識別的某些物體,例如通過Kinect的骨架識別器,而無需訪問全部原始相機(jī)輸入。增強(qiáng)現(xiàn)實技術(shù)設(shè)計者必須考慮這些權(quán)限的適當(dāng)粒度,而且易用的權(quán)限管理界面的設(shè)計將非常重要。智能手機(jī)中使用的基于清單或提示的現(xiàn)有解決方案不太可能以有效的方式擴(kuò)展。由于增強(qiáng)現(xiàn)實應(yīng)用程序需要長期(而非一次性)訪問數(shù)據(jù),這使得上下文內(nèi)訪問控制解決方案(如用戶主導(dǎo)的訪問控制)的應(yīng)用不那么簡單[7]。始終開啟的相機(jī)和其他傳感器還會給旁觀者帶來隱私風(fēng)險,Krevelen和Poelman認(rèn)為這會影響增強(qiáng)現(xiàn)實技術(shù)得到社會廣泛接受[8]。旁觀者應(yīng)該能在他人錄像時選擇避開或隱匿身份,例如模糊影像;以前的研究曾考察過此類問題[9]。增強(qiáng)現(xiàn)實技術(shù)用戶可能需要某些方式來向心存疑慮的旁觀者證明這樣的防護(hù)措施已然就位。立法或市場力量可能催生出對來自其他設(shè)備或環(huán)境的請求作出響應(yīng)的相機(jī);新聞報道披露,Apple已經(jīng)考慮將這樣的功能添加到iPhone來防止偷拍諸如音樂會之類的現(xiàn)場活動[10],相機(jī)還可在錄制時提醒旁觀者,例如通過閃光[11]或提供訪問更復(fù)雜的政策信息的權(quán)限[12]。CVDazzle項目另辟蹊徑,使用化妝來迷惑面部檢測算法——這種方法無需隱私保護(hù)相機(jī)即可提供私密性[13]。CVDazzle的關(guān)鍵局限性是需要費力地為一種特定的面部檢測算法進(jìn)行手工調(diào)優(yōu)。這里需要認(rèn)真研究的一個課題是,如何找到一種通用算法來合成可迷惑面部檢測的化妝。

(二)多應(yīng)用程序的倫理挑戰(zhàn)

雖然增強(qiáng)現(xiàn)實應(yīng)用程序通常是獨立構(gòu)想并開發(fā)原型的,但是我們可以預(yù)期,未來的增強(qiáng)現(xiàn)實平臺,如基于Google Glass或Microsoft Kinect構(gòu)建的平臺,將支持同時運行的多個應(yīng)用程序,這些應(yīng)用程序共享輸入和輸出設(shè)備,并相互公開數(shù)據(jù)和API。研究人員必須預(yù)見這些發(fā)展趨勢,并確保在設(shè)計支持增強(qiáng)現(xiàn)實技術(shù)的操作系統(tǒng)時,適當(dāng)考慮安全和隱私倫理。

首先,輸出。在多應(yīng)用程序增強(qiáng)現(xiàn)實技術(shù)中,各個應(yīng)用程序?qū)⒐蚕磔敵鲈O(shè)備,包括顯示屏、音頻輸出和觸覺反饋。試圖使用這些輸出設(shè)備的多個應(yīng)用程序之間若發(fā)生沖突,可能導(dǎo)致安全問題。例如,惡意應(yīng)用程序可能試圖遮蔽另一個應(yīng)用程序呈現(xiàn)的內(nèi)容(如在視覺或聽覺上用不正確的翻譯掩蓋正確的翻譯)。盡管如此,為了在增強(qiáng)現(xiàn)實技術(shù)中提供所需的功能,輸出共享仍是必需的。例如,用戶可能希望同時查看覆蓋在實景視圖上的來自多個應(yīng)用程序的內(nèi)容;例如,地圖應(yīng)用程序提供的方向、匯總鄰近好友活動的社交信息、音樂應(yīng)用程序當(dāng)前播放的曲目等等。因此,一次只有一個應(yīng)用程序控制顯示屏的原生解決方案并不夠用。

因此,未來的增強(qiáng)現(xiàn)實技術(shù)必須處理多個嘗試生成輸出的應(yīng)用程序之間發(fā)生的沖突。例如,五個應(yīng)用程序可能全都要標(biāo)注同一個對象(如使用翻譯字幕),系統(tǒng)需要為它們排列優(yōu)先級。此外,用戶應(yīng)能知道哪些內(nèi)容是由哪個應(yīng)用程序生成的,這一點可能也很重要,例如,標(biāo)注的產(chǎn)品推薦是來自好友還是廣告商。增強(qiáng)現(xiàn)實技術(shù)設(shè)計者所創(chuàng)建的界面必須可讓用戶清楚知道或輕松發(fā)現(xiàn)所示內(nèi)容的來源?；谳敵龃鄹牡膫鹘y(tǒng)攻擊在增強(qiáng)現(xiàn)實環(huán)境下可能需要新的方法或新的規(guī)劃。例如,在目前的系統(tǒng)中,應(yīng)用程序可能發(fā)動點擊劫持攻擊,這種攻擊誘騙用戶點擊另一個應(yīng)用程序中的敏感用戶界面元素,例如在用戶社交媒體檔案中發(fā)布某些內(nèi)容。發(fā)動這些攻擊的方式通常是篡改敏感元素的顯示,使其透明或以巧妙的方式將其部分遮蓋,或者就在用戶點擊可預(yù)測的位置之前突然顯示敏感元素。未來增強(qiáng)現(xiàn)實技術(shù)的應(yīng)用可能開發(fā)出誘騙用戶與元素進(jìn)行交互的新技術(shù),而系統(tǒng)設(shè)計者必須預(yù)見到這些攻擊。例如,增強(qiáng)現(xiàn)實應(yīng)用程序可能試圖誘騙用戶與現(xiàn)實世界,而非虛擬世界中的對象交互。

其次,輸入。用戶可能不會使用傳統(tǒng)輸入方法,如點擊鼠標(biāo)或使用觸摸屏來與增強(qiáng)現(xiàn)實技術(shù)交互。相反,用戶可能越來越多地使用觸覺傳感器,如嵌在手套中的精細(xì)輸入、使用語音或在視線跟蹤技術(shù)的幫助下來與系統(tǒng)交互。有了這些輸入技術(shù)和多個運行的應(yīng)用程序,讓系統(tǒng)解析哪個應(yīng)用程序處于焦點位置,并因此而應(yīng)接收輸入就顯得非常重要。例如,目前的語音交互發(fā)生在用戶以顯式地動作指明了目標(biāo)應(yīng)用程序之后(如單擊iPhone上的“Siri”按鈕),或者發(fā)生在只有一個應(yīng)用程序可以接收語音輸入的系統(tǒng)上(如在Xbox上)。當(dāng)多個應(yīng)用程序處于活動狀態(tài),并可能在任何給定時間接收語音或其他輸入時,必須有一種有效的方法能讓用戶使應(yīng)用程序獲得焦點,或者在焦點不明的情況下,讓系統(tǒng)決定輸入命令發(fā)給哪個正確目標(biāo)。我們強(qiáng)調(diào):未來的增強(qiáng)現(xiàn)實技術(shù)很可能同時運行多個應(yīng)用程序,其中的很多應(yīng)用程序?qū)⒁恢边\行并偵聽輸入,而沒有任何可見的輸出。設(shè)計不當(dāng)?shù)慕裹c程序解析可能讓惡意應(yīng)用程序輕松竊取本該發(fā)給另一個應(yīng)用程序的用戶輸入,如竊取本該發(fā)給另一應(yīng)用程序登錄框的密碼。例如,惡意應(yīng)用程序可能嘗試注冊與另一個敏感的應(yīng)用程序所使用的發(fā)音相似的口頭關(guān)鍵字,從而有意增加輸入歧義性。

最后,數(shù)據(jù)訪問。跟傳統(tǒng)操作系統(tǒng)一樣,增強(qiáng)現(xiàn)實應(yīng)用程序可能希望相互公開API,而用戶可能希望在應(yīng)用程序之間共享虛擬對象。研究人員必須針對跨應(yīng)用程序共享摸索出恰當(dāng)?shù)脑L問控制模型。從傳統(tǒng)訪問控制設(shè)計得到的某些經(jīng)驗教訓(xùn)可能在此領(lǐng)域中適用,但是新的技術(shù)和環(huán)境可能需要新的方法。例如,復(fù)制、粘貼和拖放是長期固定下來的在傳統(tǒng)應(yīng)用程序之間共享數(shù)據(jù)的用戶手勢,因此在訪問控制方面仍有意義。桌面和智能手機(jī)系統(tǒng)領(lǐng)域的大量研究已嘗試將用戶操作與應(yīng)用程序特權(quán)對應(yīng)起來,例如Miller[14]和Roesner等人[15]的研究。增強(qiáng)現(xiàn)實技術(shù)需要發(fā)展出新的用戶手勢來表明共享意圖。此外,增強(qiáng)現(xiàn)實技術(shù)不太可能像傳統(tǒng)桌面操作系統(tǒng)那樣,在帶標(biāo)簽的窗口中顯示應(yīng)用程序,因此我們需要新的交互范式來使用戶能識別應(yīng)用程序,并指出哪個應(yīng)用程序應(yīng)該接收共享數(shù)據(jù)。

(三)多系統(tǒng)的倫理挑戰(zhàn)

跳出運行多個應(yīng)用程序的單個增強(qiáng)現(xiàn)實技術(shù),我們將考慮屬于不同用戶的多個增強(qiáng)現(xiàn)實技術(shù)間的交互。以前的增強(qiáng)現(xiàn)實技術(shù)研究提出了在一個增強(qiáng)現(xiàn)實技術(shù)的多用戶之間協(xié)作的應(yīng)用程序。這些應(yīng)用程序包括多人游戲[16]、遠(yuǎn)程會議現(xiàn)場遙現(xiàn)[17]以及面對面協(xié)作[18]。這類應(yīng)用程序帶來了更多安全和隱私倫理挑戰(zhàn)。

首先,輸出。不同的用戶可能看到由其各自增強(qiáng)現(xiàn)實技術(shù)所呈現(xiàn)的不同圖景。例如,不同的用戶可能看到疊加在現(xiàn)實公告牌上的不同的虛擬廣告,或者根據(jù)用戶的訪問權(quán)限級別,可能向觀看演示的不同用戶顯示不同的內(nèi)容,一個用戶可能看到絕密腳注,而其他用戶則不然。如此相互沖突的視圖要求用戶妥善管理關(guān)于“誰可以感知哪些信息”的思維模式,以免他們意外透露只有自己才可使用的私密信息。要解決此問題,需要在界面設(shè)計方面開展創(chuàng)新,以便協(xié)助用戶完成此類任務(wù)。

其次,輸入。當(dāng)支持技術(shù)提供的傳感器輸入在數(shù)量和復(fù)雜性方面呈上升態(tài)勢時,增強(qiáng)現(xiàn)實技術(shù)和應(yīng)用程序的復(fù)雜性也會隨之上升,兩者是密切相關(guān)的。如此大量的來自眾多用戶的傳感器輸入反過來會催生新的協(xié)作式傳感應(yīng)用程序,這些應(yīng)用程序本身可向增強(qiáng)現(xiàn)實應(yīng)用程序反饋數(shù)據(jù)。例如Google已經(jīng)在使用由用戶智能手機(jī)收集的數(shù)據(jù)來估計交通路況,然后報告給用戶的手機(jī)。要實現(xiàn)未來可顯示在汽車擋風(fēng)玻璃上的增強(qiáng)現(xiàn)實應(yīng)用程序,這類數(shù)據(jù)是必需的。

但是,這類聚合輸入可被惡意用戶用來愚弄數(shù)據(jù)收集系統(tǒng)。例如,評論網(wǎng)站可能利用位置跟蹤,通過標(biāo)注當(dāng)天到場的平均人數(shù)來評測餐館的熱門程度。精明的餐館老板可能出錢請人到餐館站場,而這些人不買任何東西。餐館的評測熱門度會上升,但跟其服務(wù)質(zhì)量毫無關(guān)系。不斷收集數(shù)據(jù)的增強(qiáng)現(xiàn)實技術(shù)將推動此類協(xié)作感測應(yīng)用程序的普及,因此,這些安全問題的重要性也會上升。另舉一個例子,社區(qū)地震網(wǎng)絡(luò)聚合了很多個人的測震儀傳感器數(shù)據(jù)來檢測和預(yù)測地震,攻擊者可能操縱這些傳感器來“偽造”異常地震活動,如鼓動受此項目監(jiān)測的很多人在另外一個毫不相干的游戲中同時跳起。例如Improv Everything要求用戶在指定的時間播放提供的音頻文件,并按照音頻指示行動[19]。可信任的傳感器雖然對防止其他攻擊非常重要,但在這種情況下毫無作用,因為現(xiàn)實情況受人操控。

最后,數(shù)據(jù)訪問。除了向不同的用戶顯示不同的內(nèi)容外,相互通信的增強(qiáng)現(xiàn)實技術(shù)將允許用戶相互共享虛擬內(nèi)容。例如,一個用戶可能在其私有增強(qiáng)現(xiàn)實技術(shù)中創(chuàng)建虛擬文檔,然后選擇與其他用戶的系統(tǒng)共享其顯示內(nèi)容,某些共享甚至可能很隱秘。想象一下,某個增強(qiáng)現(xiàn)實技術(shù)自動使用鄰近用戶的相機(jī)源來向某個給定用戶提供他或她的實時3D模型。跨不同增強(qiáng)現(xiàn)實技術(shù)的隱式或顯式共享數(shù)據(jù)可使很多有價值的應(yīng)用成為現(xiàn)實。但是,這需要相應(yīng)的訪問控制模型和界面來允許用戶管理這種共享。現(xiàn)在,由于人與數(shù)據(jù)項之間的復(fù)雜關(guān)系,用戶已經(jīng)很難針對Facebook等服務(wù)上的隱私設(shè)置形成自己的思維模式[20]。增強(qiáng)現(xiàn)實技術(shù)收集的大量數(shù)據(jù)以及虛擬對象與現(xiàn)實世界的集成只會使這個問題更加嚴(yán)峻。

二、應(yīng)對倫理挑戰(zhàn)的防御維度

與增強(qiáng)現(xiàn)實技術(shù)相關(guān)的某些倫理挑戰(zhàn)與目前智能手機(jī)所面臨的那些挑戰(zhàn),例如傳感器數(shù)據(jù)的隱私和跨應(yīng)用程序共享十分相似。某些情況下,恰當(dāng)?shù)脑鰪?qiáng)現(xiàn)實的防御維度是借鑒并相應(yīng)調(diào)整智能手機(jī)解決方案。例如,可以在短期內(nèi)采用許可清單和應(yīng)用商店審查流程,但長期來看,有多種原因造成增強(qiáng)現(xiàn)實技術(shù)環(huán)境下的方法必須有別于智能手機(jī)解決方案。

首先,對智能手機(jī)應(yīng)用程序的資源需求分析[3]顯示,大多數(shù)人只需要一次性或在短期內(nèi)訪問大多數(shù)資源,這使得需要上下文內(nèi)用戶交互的解決方案,如用戶主導(dǎo)的訪問控制[3]具有可行性。相比之下,增強(qiáng)現(xiàn)實應(yīng)用程序需要長期或永久訪問傳感器數(shù)據(jù),而且在規(guī)模上超越了智能手機(jī)應(yīng)用程序。此外,增強(qiáng)現(xiàn)實技術(shù)資源訪問對用戶和旁觀者來說,不如在智能手機(jī)環(huán)境中那樣明確。例如,增強(qiáng)現(xiàn)實技術(shù)的相機(jī)將始終開啟,而智能手機(jī)的相機(jī)即使被惡意軟件開啟,當(dāng)它放在用戶口袋里的時候,也不會提供很多數(shù)據(jù)。因此,我們認(rèn)為在這一領(lǐng)域設(shè)計解決方案時,應(yīng)全面考慮未來的增強(qiáng)現(xiàn)實環(huán)境。除此之外,在增強(qiáng)現(xiàn)實技術(shù)專用解決方案方面還需要開展新的研究。例如,研究人員已經(jīng)開始考慮增強(qiáng)現(xiàn)實特有的操作系統(tǒng)支持[21]。增強(qiáng)現(xiàn)實應(yīng)用程序以及底層操作系統(tǒng)自然地遵循特定的流程,因此我們可以相應(yīng)地確定研究方向,并且不同的研究模型可以在應(yīng)用程序和操作系統(tǒng)之間假設(shè)不同的邊界。在第一階段“傳感”中,應(yīng)用程序(或操作系統(tǒng))收集原始傳感數(shù)據(jù),如音頻、視頻或無線電波。這里的研究包括限制收集哪些傳感信息,如“禮貌”相機(jī)[22]或限制這些信息的使用如保留策略。

其次,在識別階段,機(jī)器學(xué)習(xí)算法通過高級語義提取對象:如圖中顯示的Kinect骨架、面部、關(guān)聯(lián)的姓名和語音命令觸發(fā)器。相關(guān)研究包括更改對象以造成漏報,如CVDazzle[23],以及支配應(yīng)用程序訪問對象的策略[24]。應(yīng)用程序或操作系統(tǒng)在用戶感覺的基礎(chǔ)上呈現(xiàn)視覺和聽覺等內(nèi)容。這里的研究包括:發(fā)現(xiàn)那些為避免傷害用戶而必須遵守的約束條件,以及構(gòu)建遵守這些約束條件的高性能“可信任呈現(xiàn)器”。并非所有增強(qiáng)現(xiàn)實技術(shù)防御方向都會由技術(shù)解決方案組成,某些挑戰(zhàn)可能需要社交、策略或法律方法,例如,前面討論過的旁觀者屏蔽和隱私保護(hù)相機(jī)的潛在策略。同樣,其他問題也將從非技術(shù)方法中獲益。

最后,我們呼吁為在此領(lǐng)域工作的研究者提供增強(qiáng)現(xiàn)實技術(shù)測試臺。今天的大多數(shù)試驗性增強(qiáng)現(xiàn)實應(yīng)用程序依賴于Microsoft Kinect或Lay增強(qiáng)現(xiàn)實技術(shù)之類的智能手機(jī)平臺;兩者只涉及一次性運行的單一應(yīng)用程序,因而隱藏了隨著增強(qiáng)現(xiàn)實技術(shù)的復(fù)雜性增加而出現(xiàn)的挑戰(zhàn)。

三、增強(qiáng)現(xiàn)實技術(shù)帶來的新機(jī)遇

雖然增強(qiáng)現(xiàn)實技術(shù)產(chǎn)生了重要的倫理問題,但通過將這些技術(shù)運用到現(xiàn)有問題上,它們有利于增強(qiáng)技術(shù)系統(tǒng)的安全和隱私,只是這樣的機(jī)會目前尚未充分利用。這里,我們考慮了由增強(qiáng)現(xiàn)實技術(shù)和系統(tǒng)實現(xiàn)的新型安全和隱私增強(qiáng)應(yīng)用程序所帶來的機(jī)遇。

(一)利用個人視野

集成平視式或其他個人顯示屏的增強(qiáng)現(xiàn)實技術(shù)可利用個人視野來解決現(xiàn)有的安全和隱私問題,尤其是保護(hù)私有數(shù)據(jù)和改進(jìn)密碼管理。

個人顯示屏可以很好地防止肩窺,因為用戶可與只在自己的視野中可見的應(yīng)用程序交互。例如,在現(xiàn)在的飛機(jī)上使用筆記本電腦的人會把他看到和輸入的所有內(nèi)容暴露給鄰座的人,研究人員已經(jīng)證明,低成本相機(jī)拍攝的視頻即可重構(gòu)用戶在虛擬移動鍵盤上的鍵入[25]。個人平視式顯示屏若與用于隱蔽輸入的觸覺傳感器相結(jié)合,將大大提高隱私性。①個人顯示屏可在現(xiàn)實世界中進(jìn)一步增強(qiáng)內(nèi)容加密,使得只有預(yù)期接收人的增強(qiáng)現(xiàn)實技術(shù)可以解密。例如,公司可以在公告牌上發(fā)布加密通知,員工可通過公司配發(fā)的增強(qiáng)現(xiàn)實技術(shù)閱讀這些通知,但是公司大樓的訪客無法閱讀。在增強(qiáng)現(xiàn)實技術(shù)可訪問的服務(wù)器上只存儲密鑰,而不是加密內(nèi)容,這樣競爭對手就只能去尋找實體通知,而不是攻破公司服務(wù)器即可了事。此類系統(tǒng)的前身如今已借助智能手機(jī)和2D條形碼(將URL編碼為具有相應(yīng)訪問控制的數(shù)據(jù))實現(xiàn),增強(qiáng)平視式顯示屏將省去手動掃描的需要。

增強(qiáng)現(xiàn)實技術(shù)還可充當(dāng)用戶的增強(qiáng)密碼管理器,通過個人顯示屏顯示密碼或密碼提示。例如,顯示屏可以概略顯示用戶在老式設(shè)備,例如ATM PIN鍵盤上必須輸入的相應(yīng)字符。屆時,就可以為用戶分配強(qiáng)密碼,因為他們無需實際記住密碼。這種應(yīng)用離不開無痕跟蹤以及可妥善保護(hù)所存儲密碼的系統(tǒng)設(shè)計。比如,實現(xiàn)了由Google Glass應(yīng)用程序和瀏覽器(Chrome)擴(kuò)展組成的原型密碼管理器應(yīng)用程序。Chrome擴(kuò)展修改了瀏覽器的用戶界面,以顯示代表當(dāng)前所示網(wǎng)站的QR代碼(瀏覽器地址欄中的網(wǎng)站)。用戶可要求Google Glass應(yīng)用程序掃描這些QR代碼,并使用語音命令“OK Glass,find password”來查詢密碼數(shù)據(jù)庫。如果用戶以前存儲過該網(wǎng)站的密碼,則應(yīng)用程序?qū)@示密碼;否則,用戶可登記新密碼,他們可以要求Chrome擴(kuò)展生成登記QR碼,并使用“enroll password”語音命令存儲新密碼。在設(shè)計由瀏覽器擴(kuò)展顯示的QR碼時,我們納入了瀏覽器和手機(jī)共享的機(jī)密,這樣一來,此應(yīng)用程序還可提供釣魚保護(hù),因為網(wǎng)站無法創(chuàng)建并顯示映射到密碼管理器中的合法密碼的偽造QR碼。

(二)利用復(fù)雜傳感器系統(tǒng)

增強(qiáng)現(xiàn)實技術(shù)得益于多種輸入和傳感設(shè)備的組合,這些設(shè)備結(jié)合在一起,可增強(qiáng)數(shù)字及物理安全性和隱私性。未來的系統(tǒng)可利用增強(qiáng)現(xiàn)實技術(shù)檢測應(yīng)用提醒用戶注意的隱私或安全條件。例如,系統(tǒng)可以在檢測到相機(jī)鏡頭對準(zhǔn)用戶時提醒用戶,使用計算機(jī)視覺來檢測鏡頭發(fā)射出的閃光等,而不是依賴隱私保護(hù)相機(jī)來將用戶從不需要的錄像中屏蔽[26]。還可以檢測某些形式的竊聽,例如指向窗口的激光麥克風(fēng)。這樣的系統(tǒng)還可檢測物理欺騙企圖,例如增強(qiáng)現(xiàn)實技術(shù)可以估計ATM卡槽的大小和形狀,如果發(fā)現(xiàn)似乎加裝了盜刷裝置,系統(tǒng)就會發(fā)出警告。同樣,面部表情自動識別方面的現(xiàn)有研究[27]也可運用于基于行為的謊言檢測[28],有學(xué)者將此應(yīng)用稱為“蜘蛛俠感覺”。

除了存儲密碼外,增強(qiáng)現(xiàn)實技術(shù)還可用于隱式鑒別用戶身份。使用這些技術(shù)以及附著在人身上的大量傳感器都可用來根據(jù)生物特征和行為特征鑒定用戶身份。以前的研究考察了在手機(jī)上實現(xiàn)此類機(jī)制的可能性[29]。增強(qiáng)現(xiàn)實技術(shù)將提供更為強(qiáng)大的身份驗證功能。傳感器數(shù)據(jù)同樣有助于做出授權(quán)和訪問控制決策。

除了附加在個人(比方說Alice)身上的傳感器外,旁觀者的傳感器也可用來驗證她的身份(將Alice的第三方視覺、聽覺和其他感官視圖提供給身份驗證系統(tǒng))。此第三方身份驗證系統(tǒng)將信任那些沒有動機(jī)以虛假方式驗證Alice的系統(tǒng)和人員。

四、結(jié)論

增強(qiáng)現(xiàn)實技術(shù)具有精密而普適的輸入、輸出和處理能力,它們具備讓很多用戶明顯受益的潛力。為了促進(jìn)增強(qiáng)現(xiàn)實技術(shù)的持續(xù)創(chuàng)新,我們認(rèn)為,在增強(qiáng)現(xiàn)實技術(shù)得到廣泛部署,并且其體系結(jié)構(gòu)得以確定之前,現(xiàn)在還應(yīng)制定路線圖來保護(hù)增強(qiáng)現(xiàn)實技術(shù)的計算機(jī)安全和個人隱私。為了催生此路線圖,我們考慮了這些系統(tǒng)所面臨的新的安全和隱私挑戰(zhàn),并且探索了由這些技術(shù)帶來的機(jī)遇,希望籍此創(chuàng)建新的隱私和安全得到增強(qiáng)的應(yīng)用程序。

[注釋]

①我們注意到,從外部觀者的角度,透視顯示屏(如Google Glass所用的顯示屏)并非完全私密。例如,類似于根據(jù)屏幕反射重構(gòu)內(nèi)容,使用遠(yuǎn)距鏡頭拍攝的顯示屏圖像可用來重構(gòu)屏幕內(nèi)容。未來的研究應(yīng)充分揭示此類威脅的特征,并設(shè)計相應(yīng)的防御措施。

[1]Sutherland I E.A head-mounted three-dimensional display[C].In Proceedings of the Fall Joint Computer Conference,American Federation of Information Processing Societies,1968.

[2]Azuma R T.A survey of augmented reality[J].Presence:Teleoperators and Virtual Environments,1997(6):355-385.

[3]Roesner F,Kohno T,Moshchuk A,et al.User-driven access control:Rethinking permission granting in modern operating systems[J].IEEE Symposium on Security and Privacy,2012(6):3-15.

[4]Poulsen K.Hackers assault epilepsy patients via computer[EB/OL].http://www.wired.com/politics/security/news/2008/03/epilepsy,2008.

[5]Parviz B.For your eye only[J].IEEE Spectrum 46,2009(9):36-41.

[6]CNN.Augmented-reality windshields and the future of driving[EB/OL].http://virtual.vtt.fi/virtual/proj2/multimedia/alvar.html,2012.

[7]Roesner F,Kohno T,Moshchuk A,et al.User-driven access control:Rethinking permission granting in modern operating systems[J].IEEE Symposium on Security and Privacy,2012(8):10.

[8]Van Krevelen D,Poelman,R.A survey of augmented reality technologies,applications,and limitations[J].The International Journal of Virtual Reality,2010(9):1-20.

[9]Halderman J A,Waters B,Felten E W.Privacy management for portable recording devices[J].In Proceedings of the 3RDACM Workshop on Privacy in Electronic Society,2004(10):1-3.

[10]Business Insider.This apple patent will shut down your camera at live concerts[EB/OL].http://www.businessinsider.com/iphone-concert-patent,2011-6.

[11]Van Krevelen D,Poelman R.A survey of augmented reality technologies,applications,and limitations[J].The International Journal of Virtual Reality,2010(9):1-20.

[12]Maganis G,Jung J,Kohno,T,et al.Sensor Tricorder:What does that sensor know about Me?[J].In Proceedings of the 12th Workshop on Mobile Computing Systems and Applications,2011(20):3-7.

[13]Microsoft.Kinect for Windows[EB/OL].http://www.microsoft.com/en-us/inectforwindows/.

[14]Miller M S.Robust Composition:Towards a Unified Approach to Access Control and Concurrency Control.Ph.D.thesis[M].Johns Hopkins University,Baltimore,MD,2006:70.

[15]Roesner F,Kohno T,Moshchuk,A,et al.User-driven access control:Rethinking permission granting in modern operating systems[J].IEEE Symposium on Security and Privacy,2012(8):10-11.

[16]Henrysson A,Billinghurst M,And Ollila M.Face to face collaborative AR on mobile phones[J].In Proceeding of the 4thIEEE/ACM International Symposium on Mixed&Augmented Reality,2005(20):3-9.

[17]Kato H,Billinghurst M.Marker tracking and HMD calibration for a video-based augmented reality conferencing system[J].In IEEE/ACM Workshop on Augmented Reality,1999(6):9-12.

[18]Reitmayr G,Schmalstieg D.Mobile collaborative augmented reality[J].In Proceedings of the 4th International Symp.on Augmented Reality,2001(2):77-78.

[19]FELDMAN,JILL.Improv Everywhere[J].Modern Painters,2012(1):20.

[20]Madejski M,Johnson M,Bellovin S M.The Failure of Online Social Network Privacy Settings[M].Tech.Rep.CUCS-010-11,Dept.of Comp.Science,Columbia University,2011:11.

[21]D’Antoni L,Dunn A,Jana S,et al.Operating system support for augmented reality applications[C].In Proceedings of USENIX Workshop on Hot Topics in Operating Systems,2013.

[22]Halderman J A,Waters B,Felten E W.Privacy management for portable recording devices[C].In Proceedings of the 3rd ACM Workshop on Privacy in E-lectronic Society,2004(3):223.

[23]Harvey A.CVDazzle:Camouflage from Computer Vision[EB/OL].http://cvdazzle.com/.

[24]Jana S,Molnar D,Moshchuk A,et al.Enabling finegrained permissions for augmented reality applications with recognizers[J].Tech.Rep.MSR-TR-2013-11,Microsoft Research,2013(9):42.

[25]Raguram R,White A M,Goswami D,et al.iSpy:automatic reconstruction of typed input from compromising reflections[C].In Proceedings of the 18th ACM Conf.Computer and Communications Security.

[26]Truong K,Patel S,Summet J,Abowd G.Preventing camera recording by designing a capture-resistant environment[C].Proceedings of Ubicomp,2005.

[27]Hoque M E,McDuff D,Picard R W.Exploring temporal patterns in classifying frustrated and delighted smiles[J].IEEE Transactions on Affective Computing,2012(3):323-334.

[28]Vrij A,Edward K,Roberts K,Bull R.Detecting deceit via analysis of verbal and nonverbal behavior[J].Journal of Nonverbal Behavior,2000(24):239-263.

[29]Jakobsson M,Shi E,Golle P,Chow R.Implicit authentication for mobile devices[C].In Proceedings of the 4th USENIX Workshop on Hot Topics in Security,2009:33-37.