A survey and risk assessment on virtual, augmented and mixed reality cyberattacks

Abstract

Nowadays, Virtual Reality (VR), Augmented Reality (AR) and Mixed Reality (MR.) systems are not exclusively associated with the gaming industry. Their potential is also useful for other business areas such as healthcare, automotive, and educational domains, based on gathered statistics. Companies need to accompany technological advances and enhance their business processes and thus, the adoption of VR, AR, or MR technologies could be advantageous in reducing resource usage or improving the overall efficiency of operations. However, before implementing these technologies, companies must be aware of potential cyberattacks and security risks to which these systems are subject. This study presents a survey of attacks related to VR, AR. and MR. scenarios and a risk assessment based on the ISO 27005 methodology when considering healthcare, automotive, educa- tion, and gaming industries. The main goal is to make companies aware of the possible. cyberattacks that can affect the devices and their impact on their business processes. This classification intends to guide the companies that want to implement VR, AR, and MR. systems in their operations. They will be aware of the possible cyberattacks that can affect the devices and their risk level in their business domain. Proofs of concept for De nial of Service and Jamming attacks targeting HoloLens and other VR and AR, devices, along with a vulnerability found in the authorization method used in the HoloLens' Device Portal tool, are presented in this study. The motivation behind this project is to raise awareness among companies about potential vulnerabilities in these devices and how they can impact their business processes enabling them to apply effective mitigation methods.

Nos dias de hoje, os sistemas de Realidade Virtual (VR), Realidade Aumentada (AR) e Realidade Mista (MR) já não estão exclusivamente associados à indústria dos jogos. De acordo com as estatísticas apresentadas pela Finances Online, o potencial destas tecnolo gias também pode ser aplicado noutras áreas de negócio, como saúde, inclústria automóvel e educação. As empresas têm a necessidade de acompanhar os avanços tecnológicas, sendo a adoção das tecnologias VR, AR ou MR, vantajosa para reduzir o consumo de recursos ou melhorar a eficiência geral das suas operações. No entanto, antes de implementar estas tecnologias, as empresas devem estar cientes dos potenciais ataques e riscos aos quais esses sistemas estão sujeitos. Este estudo apresenta um levantamento de ataques que afetam sistemas de VR, AR, e MR, bem como uma avaliação de riscos com base na metodologia ISO 27005, considerando as indústrias de saúde, automóvel, educação e jogos. O principal objetivo é sensibilizar as empresas para os possíveis ciberataques que podem afetar os dispositivos e o impacto que os mesmos podem trazer para os seus processos de negócio. Desta maneira terão o conhecimento sobre o nível de risco associado ao seu domínio de negócios. Neste estudo, são também apresentadas provas de conceito para os ataques de Denial of Service e Jamming direcionados aos HoloLens e outros dispositivos de VR e AR. É ainda descrita uma vulnerabilidade encontrada no método de autorização na ferra- menta Device Portal dos HoloLens. A motivação deste estudo é alertar as empresas para as potenciais vulnerabilidades nestes dispositivos e como estas podem impactar os seus processos de negócio. Desta maneira, conseguem aplicar métodos de mitigação para os mesmos.