Mais reflexão – ou pelo menos alguma reflexão – precisa ser dada à proteção da privacidade no metaverso prometido de mundos de realidade virtual 3D conectados, concluíram os especialistas.
Em um artigo distribuído via ArXiv, intitulado “Explorando os riscos de privacidade sem precedentes do Metaverse”, boffins da UC Berkeley nos EUA e da Universidade Técnica de Munique na Alemanha testaram um jogo de realidade virtual (VR) de “sala de fuga” para entender melhor a quantidade de dados um invasor em potencial poderia acessar.
Através de um estudo de 30 pessoas sobre o uso de VR, os pesquisadores – Vivek Nair (UCB), Gonzalo Munilla Garrido (TUM) e Dawn Song (UCB) – criaram um estrutura para avaliar e analisar potenciais ameaças à privacidade. Eles identificaram mais de 25 exemplos de atributos de dados privados disponíveis para invasores em potencial, alguns dos quais seriam difíceis ou impossíveis de obter de aplicativos móveis ou web tradicionais.
A riqueza de informações disponíveis por meio de realidade aumentada ( AR) e hardware e software VR são conhecidos há anos. Por exemplo, um artigo de 2012 na New Scientist descreveu o Ingress, um jogo de realidade aumentada do Niantic Labs, um spin-off do Google, como “uma mina de ouro de dados”. É por isso que empresas de monetização de dados como a Meta estão dispostas a investir bilhões para tornar o mercado de hardware e aplicativos AR/VR mais do que apenas uma tristeza de entusiastas de tecnologia sem uso para torsos.
Da mesma forma, as questões de confiança e segurança da interação social on-line têm incomodado os serviços on-line desde os dias dos modems dial-up e dos boletins, antes mesmo dos navegadores da web existirem. E agora que Apple, Google, Microsoft, Meta e outros jogadores veem uma chance de refazer o Second Life sob seus próprios controles, as consultorias corporativas estão novamente lembrando aos clientes que a privacidade será um problema.
“Tecnologias avançadas, especialmente em headsets VR e óculos inteligentes , rastreará informações comportamentais e biométricas em uma escala recorde”, explica o The Everest Group em seu recente relatório: “Domar a Hidra: Confiança e Segurança no Metaverso”.
“Atualmente, as tecnologias digitais pode capturar dados sobre expressões faciais, movimentos das mãos e gestos. Portanto, informações pessoais e confidenciais que vazarão através do metaverso no futuro incluirá informações do mundo real sobre os hábitos do usuário e características fisiológicas.”
Não apenas a privacidade é um problema do metaverso não resolvido, mas a segurança do hardware também deixa a desejar. Um estudo recente relacionado de hardware AR/VR, “Security and Privacy Evaluation of Popular Augmented and Virtual Reality Technologies”, encontrou sites de fornecedores cheios de potenciais vulnerabilidades de segurança, hardware e software sem autenticação multifator e políticas de privacidade obtusas.
O estudo da sala de fuga enumera os pontos de dados específicos disponíveis para invasores de vários tipos – adversários de hardware, cliente, servidor e usuário. Vale a pena notar que “atacante”, conforme definido pelos pesquisadores, abrange não apenas os agentes externos de ameaças, mas também os participantes e as empresas que executam o programa.
Os possíveis pontos de dados identificados pelos pesquisadores incluem: Telemetria Geoespacial (Altura, Comprimento do Braço, Distância Interpupilar e Dimensões da Sala); Especificações do dispositivo (taxa de atualização, taxa de rastreamento, resolução, campo de visão do dispositivo, GPU e CPU); Rede (Largura de Banda, Proximidade); Observações comportamentais (línguas, lateralidade, voz, tempo de reação, visão de perto, visão de distância, visão de cores, acuidade cognitiva e condicionamento físico).
A partir dessas métricas, várias inferências podem ser feitas sobre um participante de RV gênero, riqueza, etnia, idade e deficiências.
“A precisão e sigilo alarmantes desses ataques e o impulso de empresas famintas por dados em direção a tecnologias de metaverso indicam que a coleta de dados e práticas de inferência em ambientes de RV em breve se tornará mais difundido em nossas vidas diárias”, conclui o artigo.
“Queremos começar dizendo que esses ‘ataques’ são teóricos e não temos evidências de que alguém esteja realmente usando atualmente, embora seja muito difícil saber se eles são”, escreveram Nair e Munilla Garrido em um e-mail para a mídia. “Além disso, usamos ‘ataques’ como um termo de arte, mas, na realidade, se essa coleta de dados fosse implantada, o consentimento provavelmente seria enterrado em um acordo em algum lugar e estaria, em teoria, totalmente acima do tabuleiro.”
Se uma empresa quisesse fazer coleta de dados, poderia obter muito mais informações sobre usuários em VR do que em aplicativos móveis … nesse contexto
No entanto, os dois pesquisadores dizem que há motivos para acreditar que as empresas que investem no metaverso o fazem, pelo menos em parte, na expectativa de que a publicidade pós-venda compensará perdas como os US$ 12,5 bilhões gastos pelo grupo Meta’s Reality Labs no ano passado para obter apenas US$ 2,3 bilhões em receita.
“Agora, supondo que uma empresa desse tamanho saiba como para calcular uma lista de materiais, essa abordagem de perda deve ser uma decisão estratégica que eles acreditam que acabará se pagando”, argumentaram Nair e Munilla Garrido. “E se olharmos para quem são essas empresas e quais métodos de receita elas já aperfeiçoaram, supomos que será pelo menos um pouco tentador implantar esses mesmos métodos para recuperar perdas de hardware. Mas, novamente, isso é especulativo.
)
“Todas as nossas pesquisas mostram que, se uma empresa quisesse fazer coleta de dados, poderia obter muito mais informações sobre usuários em RV do que em aplicativos móveis, por exemplo, e que migrar para RV faria todo o sentido em nesse contexto.”
Perguntados se as regras de privacidade existentes abordam adequadamente a coleta de dados do metaverso, os dois cabeças de ovos responderam que acreditam que sim, a menos que essas regras se refiram apenas a aplicativos móveis.
“Mas temos um desafio único em relação aos aplicativos metaversos, pois há uma razão plausível para transmitir esses dados para servidores centrais”, explicaram. “Fundamentalmente, os aplicativos metaversos funcionam rastreando todos os movimentos do seu corpo e transmitindo todos esses dados para um servidor para uma representação n de si mesmo pode ser renderizado para outros usuários ao redor do mundo.
“Assim, por exemplo, enquanto uma empresa luta para argumentar que rastrear seus movimentos é necessário para o aplicativo móvel, na verdade é parte integrante da experiência do metaverso! E nesse ponto, é muito mais fácil argumentar que os logs sobre isso precisam ser armazenados para solução de problemas etc. Então, em teoria, mesmo que as mesmas leis de privacidade se apliquem, elas podem ser interpretadas de maneiras drasticamente diferentes devido às necessidades fundamentais de dados da plataforma ser tão diferente.”
Nair e Munilla Garrido reconheceram que alguns dos cerca de 25 atributos colecionáveis que identificaram em sua pesquisa podem ser obtidos por meio de telefones celulares ou outras interações on-line. Mas os aplicativos do metaverso representam um balcão único para dados.
“Temos uma situação em que todas essas categorias de informações podem ser coletadas de uma só vez, em poucos minutos”, explicaram.
“E como você precisa combinar vários atributos para fazer inferências (por exemplo, altura e voz para inferir sexo), a presença de todos esses métodos de coleta de dados no mesmo local ao mesmo tempo é o que torna a RV um risco único em termos de poder inferir atributos de dados do usuário com alta precisão.”
Th O grande volume de informações disponíveis através do metaverso é suficiente para desanonimizar qualquer usuário de RV, afirmaram. Eles argumentam que este não é o caso de aplicativos ou sites.
O objetivo de seu artigo, eles disseram, é lançar luz sobre os riscos de privacidade expansivos de AR/VR e incentivar outros pesquisadores a procurar soluções.
Captura de tela do MetaGuard no mundo VR … Clique para ampliar
Eles já têm um em mente: um plugin para o motor de jogo Unity chamado MetaGuard. O nome deixa claro a fonte da ameaça à privacidade.
“Pense nisso como ‘modo de navegação anônima para VR’”, escreveram Nair e Munilla Garrido. “Ele funciona adicionando ruído, usando uma técnica estatística conhecida como privacidade diferencial, a certas medições de rastreamento de RV, de modo que elas não sejam mais precisas o suficiente para identificar usuários, mas sem afetar significativamente a experiência do usuário. Como o modo de navegação anônima em navegadores, é algo os usuários podem ativar e desativar e ajustar como quiserem, dependendo do ambiente e seu nível de confiança.”
Esperamos que a privacidade do metaverso seja simples assim.
