蘇令銀

(上海師范大學馬克思主義學院,上海 200234)

自20世紀60年代起,當Ivan Sutherland描繪顯示三維信息的透明頭戴式顯示器時,研究人員就已經(jīng)在探索增強現(xiàn)實技術的想法[1]。從20世紀90年代起,增強現(xiàn)實技術作為研究領域已將重點集中在克服顯示技術、跟蹤和配準方面的難題,以便正確對齊虛實對象、用戶界面和人為因素、輔助傳感設備,以及新型增強現(xiàn)實應用程序的設計[2]。但是,直到最近,早期出現(xiàn)的增強現(xiàn)實技術才開始投入商用。例如,Google最新推出了支持增強現(xiàn)實應用程序的有限數(shù)量的Google Glass“平視”眼鏡。很多其他早期增強現(xiàn)實應用程序也因智能手機和其他移動設備的普及而得到運用。這方面的例子包括Word Lens iPhone應用程序以及Lay增強現(xiàn)實。前者將翻譯后的文字疊加到相機的外語文字上;后者則是基于地理位置的增強現(xiàn)實平臺,供開發(fā)者創(chuàng)建增強現(xiàn)實層,用于游戲等各種領域。最近在手機中出現(xiàn)的1GHz處理器、位置傳感器以及高分辨率自動對焦相機已使這些應用成為可能。

我們將從寬泛的角度探討增強現(xiàn)實領域,既考慮增強現(xiàn)實的直接應用,又考慮支持這些應用所必需的技術。除手機之外,增強感覺、顯示和數(shù)據(jù)共享的設備已開始出現(xiàn),它們將使更加復雜的增強現(xiàn)實技術成為現(xiàn)實。如,Looxcie(一種耳掛式、始終開啟的視頻攝像頭)具有使佩戴者能與世界上任何人共享實時視頻源的功能。Microsoft的SDK for Kinect[3]將RGB相機、深度相機和多陣列麥克風結合在一起來提供精準運動感知,實現(xiàn)了多種原型增強現(xiàn)實應用程序。除了Google Glass之外,Vuzix、Lumus和Meta Space Glasses等多家公司出品的透明可穿戴顯示屏現(xiàn)已可供研究之用。

這些技術將使商用增強現(xiàn)實應用程序成為可能,它們正處于重大創(chuàng)新的風口浪尖,將令很多用戶受益匪淺。但是,這些技術也帶來了未曾意料的計算機安全和隱私風險,前人的研究很少考慮這些問題。我們主張與其坐等這些技術完全成熟后再回過頭來開發(fā)安全和隱私保護措施,不如現(xiàn)在趁這些技術仍然年輕、有可塑性的時候,就考慮安全和隱私問題。為了引導此過程,我們提出以下問題:隨著增強現(xiàn)實技術及其支持技術的興起,安全和隱私研究面臨哪些新的挑戰(zhàn)?增強現(xiàn)實技術為改進安全和隱私創(chuàng)造了哪些嶄新的機遇?

我們發(fā)現(xiàn)增強現(xiàn)實技術為計算機安全和隱私研究及相關產(chǎn)業(yè)搭建了一個重要而機會良多的新平臺。當然,這些技術也應充分利用標準的最佳安全方案,如設備加密和網(wǎng)絡加密。盡管如此,我們仍發(fā)現(xiàn)了一些既考驗智慧,但仍可克服的獨特障礙,包括如何處理共享一個增強現(xiàn)實技術輸出的多個應用程序之間的沖突。其它挑戰(zhàn)(如數(shù)據(jù)訪問控制)在其它領域已經(jīng)眾所周知,但對于輸入始終開啟、始終感測的增強現(xiàn)實技術來說,這些挑戰(zhàn)有著更重要的意義。鑒于增強現(xiàn)實技術在未來的重要性,在其他領域已經(jīng)克服這些問題的研究者會發(fā)現(xiàn),將注意力重新集中到增強現(xiàn)實應用具有重要價值。

除了提出新的挑戰(zhàn)外,增強現(xiàn)實技術還為可改進安全和隱私的新應用帶來了機遇。例如,這些技術可在個人顯示屏上提供個人的數(shù)字化內容視圖。想象一下,一款密碼管理器可在用戶注視鍵盤時,將視覺的指示器疊放在某個復雜密碼的正確鍵上,或者一款應用程序可在某人說謊時提醒用戶。在本文中,我們將探討增強現(xiàn)實技術帶來的倫理挑戰(zhàn)、防御維度,以及增強現(xiàn)實技術對防范現(xiàn)有倫理挑戰(zhàn)問題帶來的新機遇。

一、增強現(xiàn)實技術帶來的倫理挑戰(zhàn)

除了傳統(tǒng)上定義的實時配準虛實對象外,我們考慮的增強現(xiàn)實應用程序和技術可能具有以下任一或全部特征:(1)始終開啟的輸入設備和傳感器的復雜集合(如,相機、GPS、麥克風);(2)多個輸出設備(如,顯示屏、耳機);(3)可同時運行多種應用程序的平臺;(4)通過無線方式與其他增強現(xiàn)實技術進行通信的能力。

這里,我們提出一系列由這些新技術及其應用帶來的安全和隱私挑戰(zhàn)。我們將這些挑戰(zhàn)沿兩根軸來組織:系統(tǒng)適用范圍和功能。在一根軸上,我們考慮適用范圍逐漸擴大的增強現(xiàn)實技術:從單一應用程序到單個增強現(xiàn)實平臺中的多個應用程序,再到多個相互通信的增強現(xiàn)實技術。各類別的挑戰(zhàn)在系統(tǒng)復雜度達到這一程度時首次出現(xiàn)。對于每個范圍,我們進一步將挑戰(zhàn)劃分為與輸入、輸出或數(shù)據(jù)訪問相關等不同類別。我們建議以后的增強現(xiàn)實技術設計者沿這兩根軸考慮安全和隱私挑戰(zhàn)。

熟悉智能手機安全性的讀者可能會發(fā)現(xiàn),手機安全挑戰(zhàn)與我們這里所提出的挑戰(zhàn)之間有某種重疊。我們注意到,某些智能手機安全技術可能適用于增強現(xiàn)實技術,其他技術需要在此新背景下重新考慮。

(一)單一應用程序的倫理挑戰(zhàn)

我們首先僅考慮單一增強現(xiàn)實應用程序的威脅和倫理挑戰(zhàn)。

首先,輸出。用戶必須十分信任那些將虛擬反饋疊加于真實視覺、聽覺或觸覺感知之上的增強現(xiàn)實應用程序。提供沉浸式反饋的設備可能被惡意應用程序利用來欺騙用戶,使其錯誤認識真實世界。例如,未來的惡意應用程序可能在真實限速標志上疊放不正確的限速標志,或者在沒有標志的地方放置虛假標志,或者故意提供真實外語文本的錯誤譯文。更籠統(tǒng)地說,這樣的應用程序可能欺騙用戶,使其錯誤地認為某些物體在現(xiàn)實世界中存在或不存在。

惡意應用程序可使用類似的技術造成用戶感官超載。應用程序在屏幕上閃爍亮光、播放巨響的聲音,或者產(chǎn)生劇烈的觸覺反饋,這些都可能對用戶造成人身傷害。這樣的攻擊并非沒有先例:攻擊者曾針對癲癇論壇發(fā)布動態(tài)gif閃光圖,結果引起瀏覽者頭疼或癲癇發(fā)作[4]。新興的增強現(xiàn)實平臺必須考慮并防止這些類型的攻擊。這些輸出攻擊一旦出現(xiàn)在沉浸式增強現(xiàn)實應用程序中,帶來的嚴重后果將遠勝于在目前的桌面或手持式計算場景中帶來的后果,這既因為用戶更難區(qū)分虛實反饋,也因為用戶可能更難移除或關閉系統(tǒng)。作為對付輸出攻擊的最后手段,用戶必須能夠輕松可靠地返回到現(xiàn)實世界,也就是說,能確認所有輸出設備已被關閉。

近期來看,移除系統(tǒng)是實現(xiàn)這種現(xiàn)實回歸的簡單方法,但是,未來的可穿戴系統(tǒng)可能很難甚至不可能讓用戶移除,例如隱形眼鏡或植入式設備[5];今天的不可穿戴系統(tǒng)可能已經(jīng)讓用戶難以擺脫,例如多家汽車制造商生產(chǎn)了能在用戶道路視野上顯示增強內容的擋風玻璃[6]。在這些案例中,系統(tǒng)應該有可讓用戶返回現(xiàn)實的可信途徑,類似于Windows計算機上的Ctrl-Alt-Del。要確定此類最佳回歸順序,或者說正確的輸入模式,例如手勢或語音,需要對每種增強現(xiàn)實技術進行研究。另一種方法可能是在顯示屏上保留一塊總是顯示現(xiàn)實世界的可信區(qū)域。

其次,輸入。增強現(xiàn)實應用程序無疑將面臨與傳統(tǒng)應用程序相似的輸入驗證和去害難題。例如,解析現(xiàn)實中文字的翻譯應用程序可能被某指示牌上惡意制作的文字不當利用。傳統(tǒng)輸入驗證技術可能仍適用,但增強現(xiàn)實技術的設計者應意識到它們在這種新情況下的必要性。

最后,數(shù)據(jù)訪問。為了提供預期的功能,增強現(xiàn)實應用程序可能需要訪問各種傳感器數(shù)據(jù),包括視頻和音頻、GPS數(shù)據(jù)、溫度、加速度計讀數(shù)等。與桌面和智能手機操作系統(tǒng)一樣,增強現(xiàn)實技術的重要挑戰(zhàn)將是,在實現(xiàn)功能所需要的訪問與應用程序竊取數(shù)據(jù)或濫用這種訪問的風險之間做出權衡。例如,惡意應用程序可能向其后臺服務器泄露用戶位置或視頻?，F(xiàn)有的概念驗證性Place Raider攻擊顯示,智能手機傳感器可用來收集足夠的信息以創(chuàng)建室內環(huán)境的三維模型。

與當前大多數(shù)桌面和智能手機應用程序不同的是,復雜的增強現(xiàn)實應用程序需要豐富、始終開啟的傳感器。例如,自動檢測并掃描QR碼的應用程序需要持續(xù)訪問視頻流數(shù)據(jù),而自動檢測用戶何時在另一臺設備上輸入密碼并提供密碼幫助的應用程序也同樣如此(我們接下來將對此進行討論)。因此,這些隱私風險比傳統(tǒng)系統(tǒng)大得多。增強現(xiàn)實技術應采取可控制這些風險的方法。例如,個別應用程序可能不需要訪問所有傳感器數(shù)據(jù)。當用戶處于某個位置時,也許應用程序只需要訪問部分屏幕,或者只需要知道系統(tǒng)識別的某些物體,例如通過Kinect的骨架識別器,而無需訪問全部原始相機輸入。增強現(xiàn)實技術設計者必須考慮這些權限的適當粒度,而且易用的權限管理界面的設計將非常重要。智能手機中使用的基于清單或提示的現(xiàn)有解決方案不太可能以有效的方式擴展。由于增強現(xiàn)實應用程序需要長期(而非一次性)訪問數(shù)據(jù),這使得上下文內訪問控制解決方案(如用戶主導的訪問控制)的應用不那么簡單[7]。始終開啟的相機和其他傳感器還會給旁觀者帶來隱私風險,Krevelen和Poelman認為這會影響增強現(xiàn)實技術得到社會廣泛接受[8]。旁觀者應該能在他人錄像時選擇避開或隱匿身份,例如模糊影像;以前的研究曾考察過此類問題[9]。增強現(xiàn)實技術用戶可能需要某些方式來向心存疑慮的旁觀者證明這樣的防護措施已然就位。立法或市場力量可能催生出對來自其他設備或環(huán)境的請求作出響應的相機;新聞報道披露,Apple已經(jīng)考慮將這樣的功能添加到iPhone來防止偷拍諸如音樂會之類的現(xiàn)場活動[10],相機還可在錄制時提醒旁觀者,例如通過閃光[11]或提供訪問更復雜的政策信息的權限[12]。CVDazzle項目另辟蹊徑,使用化妝來迷惑面部檢測算法——這種方法無需隱私保護相機即可提供私密性[13]。CVDazzle的關鍵局限性是需要費力地為一種特定的面部檢測算法進行手工調優(yōu)。這里需要認真研究的一個課題是,如何找到一種通用算法來合成可迷惑面部檢測的化妝。

(二)多應用程序的倫理挑戰(zhàn)

雖然增強現(xiàn)實應用程序通常是獨立構想并開發(fā)原型的,但是我們可以預期,未來的增強現(xiàn)實平臺,如基于Google Glass或Microsoft Kinect構建的平臺,將支持同時運行的多個應用程序,這些應用程序共享輸入和輸出設備,并相互公開數(shù)據(jù)和API。研究人員必須預見這些發(fā)展趨勢,并確保在設計支持增強現(xiàn)實技術的操作系統(tǒng)時,適當考慮安全和隱私倫理。

首先,輸出。在多應用程序增強現(xiàn)實技術中,各個應用程序將共享輸出設備,包括顯示屏、音頻輸出和觸覺反饋。試圖使用這些輸出設備的多個應用程序之間若發(fā)生沖突,可能導致安全問題。例如,惡意應用程序可能試圖遮蔽另一個應用程序呈現(xiàn)的內容(如在視覺或聽覺上用不正確的翻譯掩蓋正確的翻譯)。盡管如此,為了在增強現(xiàn)實技術中提供所需的功能,輸出共享仍是必需的。例如,用戶可能希望同時查看覆蓋在實景視圖上的來自多個應用程序的內容;例如,地圖應用程序提供的方向、匯總鄰近好友活動的社交信息、音樂應用程序當前播放的曲目等等。因此,一次只有一個應用程序控制顯示屏的原生解決方案并不夠用。

因此,未來的增強現(xiàn)實技術必須處理多個嘗試生成輸出的應用程序之間發(fā)生的沖突。例如,五個應用程序可能全都要標注同一個對象(如使用翻譯字幕),系統(tǒng)需要為它們排列優(yōu)先級。此外,用戶應能知道哪些內容是由哪個應用程序生成的,這一點可能也很重要,例如,標注的產(chǎn)品推薦是來自好友還是廣告商。增強現(xiàn)實技術設計者所創(chuàng)建的界面必須可讓用戶清楚知道或輕松發(fā)現(xiàn)所示內容的來源?；谳敵龃鄹牡膫鹘y(tǒng)攻擊在增強現(xiàn)實環(huán)境下可能需要新的方法或新的規(guī)劃。例如,在目前的系統(tǒng)中,應用程序可能發(fā)動點擊劫持攻擊,這種攻擊誘騙用戶點擊另一個應用程序中的敏感用戶界面元素,例如在用戶社交媒體檔案中發(fā)布某些內容。發(fā)動這些攻擊的方式通常是篡改敏感元素的顯示,使其透明或以巧妙的方式將其部分遮蓋,或者就在用戶點擊可預測的位置之前突然顯示敏感元素。未來增強現(xiàn)實技術的應用可能開發(fā)出誘騙用戶與元素進行交互的新技術,而系統(tǒng)設計者必須預見到這些攻擊。例如,增強現(xiàn)實應用程序可能試圖誘騙用戶與現(xiàn)實世界,而非虛擬世界中的對象交互。

其次,輸入。用戶可能不會使用傳統(tǒng)輸入方法,如點擊鼠標或使用觸摸屏來與增強現(xiàn)實技術交互。相反,用戶可能越來越多地使用觸覺傳感器,如嵌在手套中的精細輸入、使用語音或在視線跟蹤技術的幫助下來與系統(tǒng)交互。有了這些輸入技術和多個運行的應用程序,讓系統(tǒng)解析哪個應用程序處于焦點位置,并因此而應接收輸入就顯得非常重要。例如,目前的語音交互發(fā)生在用戶以顯式地動作指明了目標應用程序之后(如單擊iPhone上的“Siri”按鈕),或者發(fā)生在只有一個應用程序可以接收語音輸入的系統(tǒng)上(如在Xbox上)。當多個應用程序處于活動狀態(tài),并可能在任何給定時間接收語音或其他輸入時,必須有一種有效的方法能讓用戶使應用程序獲得焦點,或者在焦點不明的情況下,讓系統(tǒng)決定輸入命令發(fā)給哪個正確目標。我們強調:未來的增強現(xiàn)實技術很可能同時運行多個應用程序,其中的很多應用程序將一直運行并偵聽輸入,而沒有任何可見的輸出。設計不當?shù)慕裹c程序解析可能讓惡意應用程序輕松竊取本該發(fā)給另一個應用程序的用戶輸入,如竊取本該發(fā)給另一應用程序登錄框的密碼。例如,惡意應用程序可能嘗試注冊與另一個敏感的應用程序所使用的發(fā)音相似的口頭關鍵字,從而有意增加輸入歧義性。

最后,數(shù)據(jù)訪問。跟傳統(tǒng)操作系統(tǒng)一樣,增強現(xiàn)實應用程序可能希望相互公開API,而用戶可能希望在應用程序之間共享虛擬對象。研究人員必須針對跨應用程序共享摸索出恰當?shù)脑L問控制模型。從傳統(tǒng)訪問控制設計得到的某些經(jīng)驗教訓可能在此領域中適用,但是新的技術和環(huán)境可能需要新的方法。例如,復制、粘貼和拖放是長期固定下來的在傳統(tǒng)應用程序之間共享數(shù)據(jù)的用戶手勢,因此在訪問控制方面仍有意義。桌面和智能手機系統(tǒng)領域的大量研究已嘗試將用戶操作與應用程序特權對應起來,例如Miller[14]和Roesner等人[15]的研究。增強現(xiàn)實技術需要發(fā)展出新的用戶手勢來表明共享意圖。此外,增強現(xiàn)實技術不太可能像傳統(tǒng)桌面操作系統(tǒng)那樣,在帶標簽的窗口中顯示應用程序,因此我們需要新的交互范式來使用戶能識別應用程序,并指出哪個應用程序應該接收共享數(shù)據(jù)。

(三)多系統(tǒng)的倫理挑戰(zhàn)

跳出運行多個應用程序的單個增強現(xiàn)實技術,我們將考慮屬于不同用戶的多個增強現(xiàn)實技術間的交互。以前的增強現(xiàn)實技術研究提出了在一個增強現(xiàn)實技術的多用戶之間協(xié)作的應用程序。這些應用程序包括多人游戲[16]、遠程會議現(xiàn)場遙現(xiàn)[17]以及面對面協(xié)作[18]。這類應用程序帶來了更多安全和隱私倫理挑戰(zhàn)。

首先,輸出。不同的用戶可能看到由其各自增強現(xiàn)實技術所呈現(xiàn)的不同圖景。例如,不同的用戶可能看到疊加在現(xiàn)實公告牌上的不同的虛擬廣告,或者根據(jù)用戶的訪問權限級別,可能向觀看演示的不同用戶顯示不同的內容,一個用戶可能看到絕密腳注,而其他用戶則不然。如此相互沖突的視圖要求用戶妥善管理關于“誰可以感知哪些信息”的思維模式,以免他們意外透露只有自己才可使用的私密信息。要解決此問題,需要在界面設計方面開展創(chuàng)新,以便協(xié)助用戶完成此類任務。

其次,輸入。當支持技術提供的傳感器輸入在數(shù)量和復雜性方面呈上升態(tài)勢時,增強現(xiàn)實技術和應用程序的復雜性也會隨之上升,兩者是密切相關的。如此大量的來自眾多用戶的傳感器輸入反過來會催生新的協(xié)作式傳感應用程序,這些應用程序本身可向增強現(xiàn)實應用程序反饋數(shù)據(jù)。例如Google已經(jīng)在使用由用戶智能手機收集的數(shù)據(jù)來估計交通路況,然后報告給用戶的手機。要實現(xiàn)未來可顯示在汽車擋風玻璃上的增強現(xiàn)實應用程序,這類數(shù)據(jù)是必需的。

但是,這類聚合輸入可被惡意用戶用來愚弄數(shù)據(jù)收集系統(tǒng)。例如,評論網(wǎng)站可能利用位置跟蹤,通過標注當天到場的平均人數(shù)來評測餐館的熱門程度。精明的餐館老板可能出錢請人到餐館站場,而這些人不買任何東西。餐館的評測熱門度會上升,但跟其服務質量毫無關系。不斷收集數(shù)據(jù)的增強現(xiàn)實技術將推動此類協(xié)作感測應用程序的普及,因此,這些安全問題的重要性也會上升。另舉一個例子,社區(qū)地震網(wǎng)絡聚合了很多個人的測震儀傳感器數(shù)據(jù)來檢測和預測地震,攻擊者可能操縱這些傳感器來“偽造”異常地震活動,如鼓動受此項目監(jiān)測的很多人在另外一個毫不相干的游戲中同時跳起。例如Improv Everything要求用戶在指定的時間播放提供的音頻文件,并按照音頻指示行動[19]。可信任的傳感器雖然對防止其他攻擊非常重要,但在這種情況下毫無作用,因為現(xiàn)實情況受人操控。

最后,數(shù)據(jù)訪問。除了向不同的用戶顯示不同的內容外,相互通信的增強現(xiàn)實技術將允許用戶相互共享虛擬內容。例如,一個用戶可能在其私有增強現(xiàn)實技術中創(chuàng)建虛擬文檔,然后選擇與其他用戶的系統(tǒng)共享其顯示內容,某些共享甚至可能很隱秘。想象一下,某個增強現(xiàn)實技術自動使用鄰近用戶的相機源來向某個給定用戶提供他或她的實時3D模型?？绮煌鰪姮F(xiàn)實技術的隱式或顯式共享數(shù)據(jù)可使很多有價值的應用成為現(xiàn)實。但是,這需要相應的訪問控制模型和界面來允許用戶管理這種共享?，F(xiàn)在,由于人與數(shù)據(jù)項之間的復雜關系,用戶已經(jīng)很難針對Facebook等服務上的隱私設置形成自己的思維模式[20]。增強現(xiàn)實技術收集的大量數(shù)據(jù)以及虛擬對象與現(xiàn)實世界的集成只會使這個問題更加嚴峻。

二、應對倫理挑戰(zhàn)的防御維度

與增強現(xiàn)實技術相關的某些倫理挑戰(zhàn)與目前智能手機所面臨的那些挑戰(zhàn),例如傳感器數(shù)據(jù)的隱私和跨應用程序共享十分相似。某些情況下,恰當?shù)脑鰪姮F(xiàn)實的防御維度是借鑒并相應調整智能手機解決方案。例如,可以在短期內采用許可清單和應用商店審查流程,但長期來看,有多種原因造成增強現(xiàn)實技術環(huán)境下的方法必須有別于智能手機解決方案。

首先,對智能手機應用程序的資源需求分析[3]顯示,大多數(shù)人只需要一次性或在短期內訪問大多數(shù)資源,這使得需要上下文內用戶交互的解決方案,如用戶主導的訪問控制[3]具有可行性。相比之下,增強現(xiàn)實應用程序需要長期或永久訪問傳感器數(shù)據(jù),而且在規(guī)模上超越了智能手機應用程序。此外,增強現(xiàn)實技術資源訪問對用戶和旁觀者來說,不如在智能手機環(huán)境中那樣明確。例如,增強現(xiàn)實技術的相機將始終開啟,而智能手機的相機即使被惡意軟件開啟,當它放在用戶口袋里的時候,也不會提供很多數(shù)據(jù)。因此,我們認為在這一領域設計解決方案時,應全面考慮未來的增強現(xiàn)實環(huán)境。除此之外,在增強現(xiàn)實技術專用解決方案方面還需要開展新的研究。例如,研究人員已經(jīng)開始考慮增強現(xiàn)實特有的操作系統(tǒng)支持[21]。增強現(xiàn)實應用程序以及底層操作系統(tǒng)自然地遵循特定的流程,因此我們可以相應地確定研究方向,并且不同的研究模型可以在應用程序和操作系統(tǒng)之間假設不同的邊界。在第一階段“傳感”中,應用程序(或操作系統(tǒng))收集原始傳感數(shù)據(jù),如音頻、視頻或無線電波。這里的研究包括限制收集哪些傳感信息,如“禮貌”相機[22]或限制這些信息的使用如保留策略。

其次,在識別階段,機器學習算法通過高級語義提取對象:如圖中顯示的Kinect骨架、面部、關聯(lián)的姓名和語音命令觸發(fā)器。相關研究包括更改對象以造成漏報,如CVDazzle[23],以及支配應用程序訪問對象的策略[24]。應用程序或操作系統(tǒng)在用戶感覺的基礎上呈現(xiàn)視覺和聽覺等內容。這里的研究包括:發(fā)現(xiàn)那些為避免傷害用戶而必須遵守的約束條件,以及構建遵守這些約束條件的高性能“可信任呈現(xiàn)器”。并非所有增強現(xiàn)實技術防御方向都會由技術解決方案組成,某些挑戰(zhàn)可能需要社交、策略或法律方法,例如,前面討論過的旁觀者屏蔽和隱私保護相機的潛在策略。同樣,其他問題也將從非技術方法中獲益。

最后,我們呼吁為在此領域工作的研究者提供增強現(xiàn)實技術測試臺。今天的大多數(shù)試驗性增強現(xiàn)實應用程序依賴于Microsoft Kinect或Lay增強現(xiàn)實技術之類的智能手機平臺;兩者只涉及一次性運行的單一應用程序,因而隱藏了隨著增強現(xiàn)實技術的復雜性增加而出現(xiàn)的挑戰(zhàn)。

三、增強現(xiàn)實技術帶來的新機遇

雖然增強現(xiàn)實技術產(chǎn)生了重要的倫理問題,但通過將這些技術運用到現(xiàn)有問題上,它們有利于增強技術系統(tǒng)的安全和隱私,只是這樣的機會目前尚未充分利用。這里,我們考慮了由增強現(xiàn)實技術和系統(tǒng)實現(xiàn)的新型安全和隱私增強應用程序所帶來的機遇。

(一)利用個人視野

集成平視式或其他個人顯示屏的增強現(xiàn)實技術可利用個人視野來解決現(xiàn)有的安全和隱私問題,尤其是保護私有數(shù)據(jù)和改進密碼管理。

個人顯示屏可以很好地防止肩窺,因為用戶可與只在自己的視野中可見的應用程序交互。例如,在現(xiàn)在的飛機上使用筆記本電腦的人會把他看到和輸入的所有內容暴露給鄰座的人,研究人員已經(jīng)證明,低成本相機拍攝的視頻即可重構用戶在虛擬移動鍵盤上的鍵入[25]。個人平視式顯示屏若與用于隱蔽輸入的觸覺傳感器相結合,將大大提高隱私性。①個人顯示屏可在現(xiàn)實世界中進一步增強內容加密,使得只有預期接收人的增強現(xiàn)實技術可以解密。例如,公司可以在公告牌上發(fā)布加密通知,員工可通過公司配發(fā)的增強現(xiàn)實技術閱讀這些通知,但是公司大樓的訪客無法閱讀。在增強現(xiàn)實技術可訪問的服務器上只存儲密鑰,而不是加密內容,這樣競爭對手就只能去尋找實體通知,而不是攻破公司服務器即可了事。此類系統(tǒng)的前身如今已借助智能手機和2D條形碼(將URL編碼為具有相應訪問控制的數(shù)據(jù))實現(xiàn),增強平視式顯示屏將省去手動掃描的需要。

增強現(xiàn)實技術還可充當用戶的增強密碼管理器,通過個人顯示屏顯示密碼或密碼提示。例如,顯示屏可以概略顯示用戶在老式設備,例如ATM PIN鍵盤上必須輸入的相應字符。屆時,就可以為用戶分配強密碼,因為他們無需實際記住密碼。這種應用離不開無痕跟蹤以及可妥善保護所存儲密碼的系統(tǒng)設計。比如,實現(xiàn)了由Google Glass應用程序和瀏覽器(Chrome)擴展組成的原型密碼管理器應用程序。Chrome擴展修改了瀏覽器的用戶界面,以顯示代表當前所示網(wǎng)站的QR代碼(瀏覽器地址欄中的網(wǎng)站)。用戶可要求Google Glass應用程序掃描這些QR代碼,并使用語音命令“OK Glass,find password”來查詢密碼數(shù)據(jù)庫。如果用戶以前存儲過該網(wǎng)站的密碼,則應用程序將顯示密碼;否則,用戶可登記新密碼,他們可以要求Chrome擴展生成登記QR碼,并使用“enroll password”語音命令存儲新密碼。在設計由瀏覽器擴展顯示的QR碼時,我們納入了瀏覽器和手機共享的機密,這樣一來,此應用程序還可提供釣魚保護,因為網(wǎng)站無法創(chuàng)建并顯示映射到密碼管理器中的合法密碼的偽造QR碼。

(二)利用復雜傳感器系統(tǒng)

增強現(xiàn)實技術得益于多種輸入和傳感設備的組合,這些設備結合在一起,可增強數(shù)字及物理安全性和隱私性。未來的系統(tǒng)可利用增強現(xiàn)實技術檢測應用提醒用戶注意的隱私或安全條件。例如,系統(tǒng)可以在檢測到相機鏡頭對準用戶時提醒用戶,使用計算機視覺來檢測鏡頭發(fā)射出的閃光等,而不是依賴隱私保護相機來將用戶從不需要的錄像中屏蔽[26]。還可以檢測某些形式的竊聽,例如指向窗口的激光麥克風。這樣的系統(tǒng)還可檢測物理欺騙企圖,例如增強現(xiàn)實技術可以估計ATM卡槽的大小和形狀,如果發(fā)現(xiàn)似乎加裝了盜刷裝置,系統(tǒng)就會發(fā)出警告。同樣,面部表情自動識別方面的現(xiàn)有研究[27]也可運用于基于行為的謊言檢測[28],有學者將此應用稱為“蜘蛛俠感覺”。

除了存儲密碼外,增強現(xiàn)實技術還可用于隱式鑒別用戶身份。使用這些技術以及附著在人身上的大量傳感器都可用來根據(jù)生物特征和行為特征鑒定用戶身份。以前的研究考察了在手機上實現(xiàn)此類機制的可能性[29]。增強現(xiàn)實技術將提供更為強大的身份驗證功能。傳感器數(shù)據(jù)同樣有助于做出授權和訪問控制決策。

除了附加在個人(比方說Alice)身上的傳感器外,旁觀者的傳感器也可用來驗證她的身份(將Alice的第三方視覺、聽覺和其他感官視圖提供給身份驗證系統(tǒng))。此第三方身份驗證系統(tǒng)將信任那些沒有動機以虛假方式驗證Alice的系統(tǒng)和人員。

四、結論

增強現(xiàn)實技術具有精密而普適的輸入、輸出和處理能力,它們具備讓很多用戶明顯受益的潛力。為了促進增強現(xiàn)實技術的持續(xù)創(chuàng)新,我們認為,在增強現(xiàn)實技術得到廣泛部署,并且其體系結構得以確定之前,現(xiàn)在還應制定路線圖來保護增強現(xiàn)實技術的計算機安全和個人隱私。為了催生此路線圖,我們考慮了這些系統(tǒng)所面臨的新的安全和隱私挑戰(zhàn),并且探索了由這些技術帶來的機遇,希望籍此創(chuàng)建新的隱私和安全得到增強的應用程序。

[注釋]

①我們注意到,從外部觀者的角度,透視顯示屏(如Google Glass所用的顯示屏)并非完全私密。例如,類似于根據(jù)屏幕反射重構內容,使用遠距鏡頭拍攝的顯示屏圖像可用來重構屏幕內容。未來的研究應充分揭示此類威脅的特征,并設計相應的防御措施。

[1]Sutherland I E.A head-mounted three-dimensional display[C].In Proceedings of the Fall Joint Computer Conference,American Federation of Information Processing Societies,1968.

[2]Azuma R T.A survey of augmented reality[J].Presence:Teleoperators and Virtual Environments,1997(6):355-385.

[3]Roesner F,Kohno T,Moshchuk A,et al.User-driven access control:Rethinking permission granting in modern operating systems[J].IEEE Symposium on Security and Privacy,2012(6):3-15.

[4]Poulsen K.Hackers assault epilepsy patients via computer[EB/OL].http://www.wired.com/politics/security/news/2008/03/epilepsy,2008.

[5]Parviz B.For your eye only[J].IEEE Spectrum 46,2009(9):36-41.

[6]CNN.Augmented-reality windshields and the future of driving[EB/OL].http://virtual.vtt.fi/virtual/proj2/multimedia/alvar.html,2012.

[7]Roesner F,Kohno T,Moshchuk A,et al.User-driven access control:Rethinking permission granting in modern operating systems[J].IEEE Symposium on Security and Privacy,2012(8):10.

[8]Van Krevelen D,Poelman,R.A survey of augmented reality technologies,applications,and limitations[J].The International Journal of Virtual Reality,2010(9):1-20.

[9]Halderman J A,Waters B,Felten E W.Privacy management for portable recording devices[J].In Proceedings of the 3RDACM Workshop on Privacy in Electronic Society,2004(10):1-3.

[10]Business Insider.This apple patent will shut down your camera at live concerts[EB/OL].http://www.businessinsider.com/iphone-concert-patent,2011-6.

[11]Van Krevelen D,Poelman R.A survey of augmented reality technologies,applications,and limitations[J].The International Journal of Virtual Reality,2010(9):1-20.

[12]Maganis G,Jung J,Kohno,T,et al.Sensor Tricorder:What does that sensor know about Me?[J].In Proceedings of the 12th Workshop on Mobile Computing Systems and Applications,2011(20):3-7.

[13]Microsoft.Kinect for Windows[EB/OL].http://www.microsoft.com/en-us/inectforwindows/.

[14]Miller M S.Robust Composition:Towards a Unified Approach to Access Control and Concurrency Control.Ph.D.thesis[M].Johns Hopkins University,Baltimore,MD,2006:70.

[15]Roesner F,Kohno T,Moshchuk,A,et al.User-driven access control:Rethinking permission granting in modern operating systems[J].IEEE Symposium on Security and Privacy,2012(8):10-11.

[16]Henrysson A,Billinghurst M,And Ollila M.Face to face collaborative AR on mobile phones[J].In Proceeding of the 4thIEEE/ACM International Symposium on Mixed&Augmented Reality,2005(20):3-9.

[17]Kato H,Billinghurst M.Marker tracking and HMD calibration for a video-based augmented reality conferencing system[J].In IEEE/ACM Workshop on Augmented Reality,1999(6):9-12.

[18]Reitmayr G,Schmalstieg D.Mobile collaborative augmented reality[J].In Proceedings of the 4th International Symp.on Augmented Reality,2001(2):77-78.

[19]FELDMAN,JILL.Improv Everywhere[J].Modern Painters,2012(1):20.

[20]Madejski M,Johnson M,Bellovin S M.The Failure of Online Social Network Privacy Settings[M].Tech.Rep.CUCS-010-11,Dept.of Comp.Science,Columbia University,2011:11.

[21]D’Antoni L,Dunn A,Jana S,et al.Operating system support for augmented reality applications[C].In Proceedings of USENIX Workshop on Hot Topics in Operating Systems,2013.

[22]Halderman J A,Waters B,Felten E W.Privacy management for portable recording devices[C].In Proceedings of the 3rd ACM Workshop on Privacy in E-lectronic Society,2004(3):223.

[23]Harvey A.CVDazzle:Camouflage from Computer Vision[EB/OL].http://cvdazzle.com/.

[24]Jana S,Molnar D,Moshchuk A,et al.Enabling finegrained permissions for augmented reality applications with recognizers[J].Tech.Rep.MSR-TR-2013-11,Microsoft Research,2013(9):42.

[25]Raguram R,White A M,Goswami D,et al.iSpy:automatic reconstruction of typed input from compromising reflections[C].In Proceedings of the 18th ACM Conf.Computer and Communications Security.

[26]Truong K,Patel S,Summet J,Abowd G.Preventing camera recording by designing a capture-resistant environment[C].Proceedings of Ubicomp,2005.

[27]Hoque M E,McDuff D,Picard R W.Exploring temporal patterns in classifying frustrated and delighted smiles[J].IEEE Transactions on Affective Computing,2012(3):323-334.

[28]Vrij A,Edward K,Roberts K,Bull R.Detecting deceit via analysis of verbal and nonverbal behavior[J].Journal of Nonverbal Behavior,2000(24):239-263.

[29]Jakobsson M,Shi E,Golle P,Chow R.Implicit authentication for mobile devices[C].In Proceedings of the 4th USENIX Workshop on Hot Topics in Security,2009:33-37.