編者注：亞當?庫加瓦(Adam Kujawa)是一名計算機科學家，在反向工程和惡意軟件分析領域擁有超過9年的經驗。他供職于美國多家聯邦和國防機構，幫助這些機構對惡意軟件進行反向工程，開發防衛和抵御技術。他目前是Malware Intelligence for Malwarebytes的負責人。

請展開你的想象。將你自己放在一座高山上，看著美麗的夕陽和云朵。突然，你又來到一艘宇宙飛船，以極快的速度飛向充滿神秘和危險的未知星球。最終，你遇見了已有一年多未見的女朋友，你們在一起接吻。突然，整個世界暗了下來，你看到了有史以來最可怕、最暴力的畫面。你是否想回到浪漫的餐桌邊？這只要200美元。

未來10年中，以上我所描繪的畫面將成為可能。沉浸式技術將把用戶的虛擬人物投入到數字環境中，從而將視頻游戲、模擬器、學習，甚至戀愛體驗引領至全新的水平。而盡管我們將體驗到各種華麗的場景，但出于利益原因，有人可能會試圖毀掉這一切。

當前的技術

我們當前的技術主要是鍵盤、鼠標和觸摸屏等用戶界面設備與數據顯示的方式(例如你的顯示器)之間的互動。因此，完全的沉浸式體驗是不可能的，至少目前并不可能。每天，隨著新技術的發展，我們正在關注光明的未來，屆時用戶將可以戴上頭盔、觸覺反饋手套，以及專用的框架眼鏡或隱形眼鏡，以類似科幻小說中的方式與真實世界和數字世界互動。

類似 Oculus Rift 和索尼 Project Morpheus 的技術是整個行業發展的第一步，而這一行業在過去20年內一直停滯不前。在看電影、玩游戲，以及未來與好友和同事的會議中，這些設備能帶來完整，或者說接近完整的沉浸式體驗。

除了這些即將成為現實的完全沉浸式設備之外，我們現在還擁有一系列現實增強設備，例如 谷歌眼鏡 。

未來的威脅

隨著技術發展，最終某些人將找到一定的方式，利用技術來傷害他人。在這種情況下，當我們討論虛擬現實技術時，我們會發現，這也創造了一個信息安全犯罪市場，而犯罪者有可能通過修改現實來謀利。

沉浸式威脅

首先，我們將討論沉浸式威脅，即與未來完整的沉浸式技術有關的危險。(例如讓你感覺到身處某一地點，但實際上并不在那里。)我可以很確定地說，這類技術將獲得大筆投資，發展速度很快，并被廣泛接受。我這樣說是由于，這一技術的大部分開發都是以游戲之名來進行的。

在人類歷史上，游戲是技術發展的一個重要動力，這類技術發展包括顯卡、處理器，以及鍵盤和鼠標等外設。可以肯定，繼視頻游戲之后，這類技術可以被應用于其他目的。然而在發生這種情況時，信息安全犯罪者也將乘虛而入。

鎖屏

我們面臨的第一種威脅是很多人都已熟悉的鎖屏勒索軟件。過去多年中，這種方式已被用于進行勒索。通常情況下，這只是一些短信，威脅你付錢。如果我們將這種威脅視作與臺式機上類似的威脅，那么關于沉浸式技術，這有何獨特之處？如果惡意軟件能影響沉浸式設備的輸出，并且只會在這類設備上顯示勒索信息，那么情況將會怎樣？

簡單的系統掃描即可刪除這些惡意軟件。在此之后，你可以返回正在進行的任務。在最嚴重的情況下，這種方式也僅僅只會給用戶帶來困擾。

閃爍的圖片

現在，讓我們來看看沉浸式技術能帶來的心理攻擊，這就是在你眼前閃爍顯示的令人困擾的圖片。

在運行過程中，勒索軟件可以在你的設備上持續顯示一張圖片，但對閃爍式圖片來說，除非這種圖片已開始“襲擊”用戶的眼睛，否則用戶不可能注意到這類圖片的存在。這些圖片可能會攜帶色情或暴力內容。

這樣的圖片可能會在你的設備上出現幾天時間，隨后出現頻率越來越高，最終要求你支付一定的贖金，從而停止圖片的顯示。這樣的惡意軟件也可以通過系統掃描來刪除，讓一切回歸正常。然而，這種方式造成的心理傷害持續時間將更長。在惡意軟件被刪除之前，用戶甚至不能肯定，他們所見的是否是自己希望看到的，他們很可能會以為自己失去了理智。

尖叫者

可以很容易地推測，許多用戶將配合音頻內容來使用沉浸式視覺技術。在這種情況下，降噪耳機將發出3D環繞聲。因此，以往的兒童惡作劇將變成“尖叫者”惡意軟件受害者的噩夢。

想象你正在運行一個沉浸式游戲，或是看一部電影，你非常專注于其中的內容，全神貫注。突然，一個可怕的景象出現在你眼前，刺耳的尖叫聲侵入你的耳朵。對臺式機用戶來說，當這種尖叫聲響起時，用戶可以轉開頭不看，或暫時離開。但對于沉浸式技術的用戶來說，情況完全不同。

你已經可以看見，一些用戶使用類似Oculus Rift的設備來玩恐怖游戲。這類游戲的目的就是為了讓用戶感到驚恐。玩家的反應非常激烈，他們會感到徹底的恐懼，除非將頭盔摘下否則無法逃離。

在遭遇尖叫者軟件的第一波襲擊之后，用戶可以返回此前正在進行的任務，但幾小時后，這一軟件再次來襲。這種軟件帶來的恐懼和焦慮會讓用戶發瘋，例如向勒索者支付贖金。

這樣的軟件也很容易從系統中刪除，但心理傷害將持續非常長的時間，帶來噩夢，甚至計算機恐懼癥。使用這種方式的信息安全犯罪者可能會嘗試提前勒索贖金，在用戶尚未支付贖金的情況下向他們發出警告。如果有足夠多的受害者，那么僅僅這種警告就已足夠。

耳語者

我們希望討論的最后一種與沉浸式技術有關的威脅不易被發現。這樣的惡意軟件將會對著你的耳朵悄悄地說話。通過對用戶說話，惡意軟件可以控制用戶的思想，或導致用戶發瘋。潛意識消息也可以實現同樣的功能，將一個幾乎完全透明的消息展示在用戶眼前。在使用現有技術時，這樣的惡意軟件很難起到效果，但如果用戶無法移開自己的眼睛，那么情況將很危險。

根據信息安全犯罪者的行為方式，他們可以接受聲譽不佳的公司的請求，幫助它們宣傳產品，他們也可以僅僅只是利用耳語讓人發瘋。這些犯罪者隨后可以向用戶提供一種擺脫耳語的方式，例如向用戶銷售藥品，或某種能夠治愈的“療法”。在此之后，他們可以關閉這樣的耳語軟件，直到他們希望再次騙錢。

現實增強技術

在我們了解了與沉浸式技術有關的威脅，以及信息安全犯罪者能利用沉浸式設備獲得什么樣的力量之后，可以說，由于能獲得用戶100%的關注，因此大部分此類攻擊都是為了在心理上打擊用戶。

那么，現實增強技術的情況如何，例如類似谷歌眼鏡的設備？在使用這類設備時，你會面臨完全不同的威脅，其中很大一部分與桌面設備上出現的威脅類似。不過相對于普通PC，攻擊者可以竊取、扭曲、以及刺探更多信息。

竊取隱私瞬間，隨后出售

現實增強技術的關鍵一點在于，能夠以全新的方式與現實世界互動。這意味著，為了在現實世界的基礎上提供數字內容，這些設備需要使用攝像頭。

連接至現實增強設備的攝像頭是一件非常危險的東西。請想想，如果你愿意，那么惡意軟件可以使用攝像頭，在許多非常私密的時刻拍攝照片。這些時刻并不適宜公開，但通過關聯至設備的社交網絡，信息安全犯罪者可以按照他們的意愿將這些照片發布至用戶的社交媒體。毫無疑問，當用戶拒絕支付贖金時，這種情況最有可能發生。

一些研究人員已經利用谷歌眼鏡開發出了以證明概念為目的的此類間諜軟件。因此，相對于以上列舉的場景，這種威脅更接近現實。

記錄對話

除了拍攝照片、錄制視頻之外，現實增強設備還能錄制你的聲音。這種技術有利的一面是隨時記錄你的想法，使你可以以免提的方式與設備互動，或是記錄你目前正通過廣播收聽的音樂，并查找這首音樂的詳細信息。不過，這種技術不利的一面在于，間諜和身份竊賊可以利用惡意軟件借機記錄你的所有對話。

另一方面，內建的語音識別軟件可以被用于識別你在對話中提到的普通商品名稱和主題話題，從而向你展示有針對性的廣告。如果這給你帶來困擾，那么不是一件好事。

竊取信用卡卡號和密碼

很明顯，基于現實增強設備的惡意軟件能帶來一類嚴重威脅，即在觀察你每天活動的過程中竊取你的個人信息。在這種情況下，信息安全犯罪者需要做的全部工作就是等待你查看自己的信用卡號碼，或是在ATM機上輸入密碼。隨后，利用你的個人信息，他們可以復制你的信用卡，從你的賬戶中偷走一大筆錢。

或者，他們可以利用你的信用卡信息，并分析你的簽名(在你查看信用卡時進行錄制)，從而模仿你的簽名筆跡使用你的信用卡。

信息安全犯罪者可以獲取并掌握你生活中方方面面的信息。他們可以竊取你的社會安全號碼、生日、地址和家庭信息。當然，最佳的應對方式是在你從事私人活動或安全性要求較高的活動時關閉這些設備。然而，如果這樣的現實增強設備并非佩戴在面部，而是植入在身體之內，那么又該怎么辦？

以負面的方式扭曲現實

從近期來看，現實增強技術面臨的最后一類威脅與這類設備的設計目的密切相關，這就是“現實增強”。這類設備的賣點在于，通過數字視角給現實生活提供更多功能，包括GPS導航、圖片和聲音識別、生物指標監控，以及向用戶展示一個與實際有所不同的世界。

現在請想象一下，惡意軟件運行在現實增強設備上，能利用所有這些功能。如果你使用現實增強設備來進行駕車導航，情況會是怎樣？你或許會撞墻。而如果現實增強設備被用于提示用戶在行車時變道，結果撞上了另一輛汽車，情況又會怎樣？

根據現實增強技術的視覺范圍，這樣的可能性是無窮的：如果設備覆蓋了用戶的整個可視范圍，那么可能會給用戶帶來誤導，而類似谷歌眼鏡的設備則可以吸引用戶的注意力，給用戶帶來不便，甚至提供錯誤的信息。

結論

考慮到所有這些威脅的存在，我們是否應當放棄開發沉浸式技術或現實增強技術？完全不是這樣。這類技術的優點遠遠超過了可能的威脅。而只有當開發者在工程開發過程中未能盡職地完成技術工作，這樣的威脅才會出現。

根據以往經驗，技術發展速度很快，通常也會帶來一些不利的后果，包括信息安全漏洞和缺陷，從而被惡意軟件利用。我們已經知道，許多人(包括我在內)都對這類技術非常感興趣，因此花一點時間，確保這類技術不會被濫用尤為重要。相對于因為惡意威脅而不使用Facebook，這類佩戴在面部的技術危險性更大。(譯：維金)

Immersive Infections

?