增强现实应用中恶意推送通知的风险

莎拉·卡茨
作者: 莎拉·卡茨
发表日期: 2024年7月22日
阅读时间: 3 分钟

与增强现实(AR)应用程序,如 Apple Vision Pro 越来越受欢迎了, 用户不仅更加依赖于他们的移动设备,而且还全神贯注于第二层干扰. 沉浸在AR中, 遇到推送通知等任何干扰都可能导致用户点击,让广告条消失. 在没有首先验证通知是否合法的情况下点击可能会导致与下载恶意软件和其他恶意内容的链接交互到您的设备上.

在沉浸式增强现实的过程中,意外接触到恶意推送通知的风险不仅会影响那些休闲使用这些应用程序的人,还会影响在工作环境中使用这些应用程序的人, 比如在医疗或其他办公场所. 当用户在没有暂停的情况下点击推送通知而允许这些不良行为者进入时,请先考虑一下, 他们不仅可能拿自己的安全冒险,还可能拿雇主的安全冒险. 网络犯罪分子可以利用推送通知进行各种攻击来获取个人数据, 包括间谍.

这些威胁参与者可能通过冒充用户认识的人来使用社会工程 MFA快速轰炸在这种情况下,用户会同时被大量通知淹没.

因为AR的使用和 用户失望 随着推送通知的增加,我在Dr. 国会科技大学(Capitol Technology University)的Alexander Voiskounsky研究了用户在沉浸式增强现实过程中对恶意推送通知的易感性,以及一种潜在的开发者端解决方案. 这是第一阶段 研究 使用了一种定性的方法,包括模拟将参与者暴露在常用的AR应用程序(如Instagram和poksammon GO)的界面上. 这个模拟让沉浸其中的参与者在要求社交互动的推送通知(朋友打电话)和紧急通知(如果用户不点击升级通知设备将关闭的升级通知)之间做出选择。. 在休闲和工作环境中,大多数参与者最终选择了社交互动, 理由是,由于设备关闭和丢失未保存工作的威胁,人们面临着回复朋友或经理的压力.

从模拟结果中可以明显看出社会压力,表明需要对后端进行缓解,这种缓解不完全依赖于用户,因为用户的注意力可能没有达到满负荷状态, 鉴于沉浸式应用程序的日益普及. 研究的第二阶段使用了定性案例研究,咨询了应用程序开发领域的四位专家,提出了在用户设备中实现的安全特性. 假设的功能将使用人工智能(AI)来启发式地分析任何传入的推送通知的内容,并在用户有机会点击之前拦截任何进入用户界面(UI)的可疑内容. 一位财富500强公司的安全工程专家建议说, 而必要的, 由于对实时捕捉推送通知所需的屏幕捕获元素的隐私担忧,这种功能尚未开发.

因为AR应用程序是最分散注意力的技术之一, 应用程序开发人员可以通过与隐私和法律专家合作,实现能够实时阻止恶意推送通知的道德安全功能,从而帮助降低这种风险. 由于研究显示社交互动对用户最具吸引力, 该功能的启发式屏幕捕获分析可以强调任何带有请求通信请求内容的推送通知. 理想情况下,一旦用户关闭AR功能,该功能将向用户显示任何拦截通知的摘要,从而减少点击或滑动自动取消通知的可能性.

编者按: 想了解更多关于这个话题的见解,请阅读Sarah的文章 2024 ISACA杂志 article, 卷3,“工作场所增强现实中用户对恶意推送通知的易感性.”

ISACA杂志

额外的资源