增强现实技术的伦理挑战及其机遇

苏令银

(上海师范大学马克思主义学院,上海 200234)

自20世纪60年代起,当Ivan Sutherland描绘显示三维信息的透明头戴式显示器时,研究人员就已经在探索增强现实技术的想法[1]。从20世纪90年代起,增强现实技术作为研究领域已将重点集中在克服显示技术、跟踪和配准方面的难题,以便正确对齐虚实对象、用户界面和人为因素、辅助传感设备,以及新型增强现实应用程序的设计[2]。但是,直到最近,早期出现的增强现实技术才开始投入商用。例如,Google最新推出了支持增强现实应用程序的有限数量的Google Glass“平视”眼镜。很多其他早期增强现实应用程序也因智能手机和其他移动设备的普及而得到运用。这方面的例子包括Word Lens iPhone应用程序以及Lay增强现实。前者将翻译后的文字叠加到相机的外语文字上;后者则是基于地理位置的增强现实平台,供开发者创建增强现实层,用于游戏等各种领域。最近在手机中出现的1GHz处理器、位置传感器以及高分辨率自动对焦相机已使这些应用成为可能。

我们将从宽泛的角度探讨增强现实领域,既考虑增强现实的直接应用,又考虑支持这些应用所必需的技术。除手机之外,增强感觉、显示和数据共享的设备已开始出现,它们将使更加复杂的增强现实技术成为现实。如,Looxcie(一种耳挂式、始终开启的视频摄像头)具有使佩戴者能与世界上任何人共享实时视频源的功能。Microsoft的SDK for Kinect[3]将RGB相机、深度相机和多阵列麦克风结合在一起来提供精准运动感知,实现了多种原型增强现实应用程序。除了Google Glass之外,Vuzix、Lumus和Meta Space Glasses等多家公司出品的透明可穿戴显示屏现已可供研究之用。

这些技术将使商用增强现实应用程序成为可能,它们正处于重大创新的风口浪尖,将令很多用户受益匪浅。但是,这些技术也带来了未曾意料的计算机安全和隐私风险,前人的研究很少考虑这些问题。我们主张与其坐等这些技术完全成熟后再回过头来开发安全和隐私保护措施,不如现在趁这些技术仍然年轻、有可塑性的时候,就考虑安全和隐私问题。为了引导此过程,我们提出以下问题:随着增强现实技术及其支持技术的兴起,安全和隐私研究面临哪些新的挑战?增强现实技术为改进安全和隐私创造了哪些崭新的机遇?

我们发现增强现实技术为计算机安全和隐私研究及相关产业搭建了一个重要而机会良多的新平台。当然,这些技术也应充分利用标准的最佳安全方案,如设备加密和网络加密。尽管如此,我们仍发现了一些既考验智慧,但仍可克服的独特障碍,包括如何处理共享一个增强现实技术输出的多个应用程序之间的冲突。其它挑战(如数据访问控制)在其它领域已经众所周知,但对于输入始终开启、始终感测的增强现实技术来说,这些挑战有着更重要的意义。鉴于增强现实技术在未来的重要性,在其他领域已经克服这些问题的研究者会发现,将注意力重新集中到增强现实应用具有重要价值。

除了提出新的挑战外,增强现实技术还为可改进安全和隐私的新应用带来了机遇。例如,这些技术可在个人显示屏上提供个人的数字化内容视图。想象一下,一款密码管理器可在用户注视键盘时,将视觉的指示器叠放在某个复杂密码的正确键上,或者一款应用程序可在某人说谎时提醒用户。在本文中,我们将探讨增强现实技术带来的伦理挑战、防御维度,以及增强现实技术对防范现有伦理挑战问题带来的新机遇。

一、增强现实技术带来的伦理挑战

除了传统上定义的实时配准虚实对象外,我们考虑的增强现实应用程序和技术可能具有以下任一或全部特征:(1)始终开启的输入设备和传感器的复杂集合(如,相机、GPS、麦克风);(2)多个输出设备(如,显示屏、耳机);(3)可同时运行多种应用程序的平台;(4)通过无线方式与其他增强现实技术进行通信的能力。

这里,我们提出一系列由这些新技术及其应用带来的安全和隐私挑战。我们将这些挑战沿两根轴来组织:系统适用范围和功能。在一根轴上,我们考虑适用范围逐渐扩大的增强现实技术:从单一应用程序到单个增强现实平台中的多个应用程序,再到多个相互通信的增强现实技术。各类别的挑战在系统复杂度达到这一程度时首次出现。对于每个范围,我们进一步将挑战划分为与输入、输出或数据访问相关等不同类别。我们建议以后的增强现实技术设计者沿这两根轴考虑安全和隐私挑战。

熟悉智能手机安全性的读者可能会发现,手机安全挑战与我们这里所提出的挑战之间有某种重叠。我们注意到,某些智能手机安全技术可能适用于增强现实技术,其他技术需要在此新背景下重新考虑。

(一)单一应用程序的伦理挑战

我们首先仅考虑单一增强现实应用程序的威胁和伦理挑战。

首先,输出。用户必须十分信任那些将虚拟反馈叠加于真实视觉、听觉或触觉感知之上的增强现实应用程序。提供沉浸式反馈的设备可能被恶意应用程序利用来欺骗用户,使其错误认识真实世界。例如,未来的恶意应用程序可能在真实限速标志上叠放不正确的限速标志,或者在没有标志的地方放置虚假标志,或者故意提供真实外语文本的错误译文。更笼统地说,这样的应用程序可能欺骗用户,使其错误地认为某些物体在现实世界中存在或不存在。

恶意应用程序可使用类似的技术造成用户感官超载。应用程序在屏幕上闪烁亮光、播放巨响的声音,或者产生剧烈的触觉反馈,这些都可能对用户造成人身伤害。这样的攻击并非没有先例:攻击者曾针对癫痫论坛发布动态gif闪光图,结果引起浏览者头疼或癫痫发作[4]。新兴的增强现实平台必须考虑并防止这些类型的攻击。这些输出攻击一旦出现在沉浸式增强现实应用程序中,带来的严重后果将远胜于在目前的桌面或手持式计算场景中带来的后果,这既因为用户更难区分虚实反馈,也因为用户可能更难移除或关闭系统。作为对付输出攻击的最后手段,用户必须能够轻松可靠地返回到现实世界,也就是说,能确认所有输出设备已被关闭。

近期来看,移除系统是实现这种现实回归的简单方法,但是,未来的可穿戴系统可能很难甚至不可能让用户移除,例如隐形眼镜或植入式设备[5];今天的不可穿戴系统可能已经让用户难以摆脱,例如多家汽车制造商生产了能在用户道路视野上显示增强内容的挡风玻璃[6]。在这些案例中,系统应该有可让用户返回现实的可信途径,类似于Windows计算机上的Ctrl-Alt-Del。要确定此类最佳回归顺序,或者说正确的输入模式,例如手势或语音,需要对每种增强现实技术进行研究。另一种方法可能是在显示屏上保留一块总是显示现实世界的可信区域。

其次,输入。增强现实应用程序无疑将面临与传统应用程序相似的输入验证和去害难题。例如,解析现实中文字的翻译应用程序可能被某指示牌上恶意制作的文字不当利用。传统输入验证技术可能仍适用,但增强现实技术的设计者应意识到它们在这种新情况下的必要性。

最后,数据访问。为了提供预期的功能,增强现实应用程序可能需要访问各种传感器数据,包括视频和音频、GPS数据、温度、加速度计读数等。与桌面和智能手机操作系统一样,增强现实技术的重要挑战将是,在实现功能所需要的访问与应用程序窃取数据或滥用这种访问的风险之间做出权衡。例如,恶意应用程序可能向其后台服务器泄露用户位置或视频。现有的概念验证性Place Raider攻击显示,智能手机传感器可用来收集足够的信息以创建室内环境的三维模型。

与当前大多数桌面和智能手机应用程序不同的是,复杂的增强现实应用程序需要丰富、始终开启的传感器。例如,自动检测并扫描QR码的应用程序需要持续访问视频流数据,而自动检测用户何时在另一台设备上输入密码并提供密码帮助的应用程序也同样如此(我们接下来将对此进行讨论)。因此,这些隐私风险比传统系统大得多。增强现实技术应采取可控制这些风险的方法。例如,个别应用程序可能不需要访问所有传感器数据。当用户处于某个位置时,也许应用程序只需要访问部分屏幕,或者只需要知道系统识别的某些物体,例如通过Kinect的骨架识别器,而无需访问全部原始相机输入。增强现实技术设计者必须考虑这些权限的适当粒度,而且易用的权限管理界面的设计将非常重要。智能手机中使用的基于清单或提示的现有解决方案不太可能以有效的方式扩展。由于增强现实应用程序需要长期(而非一次性)访问数据,这使得上下文内访问控制解决方案(如用户主导的访问控制)的应用不那么简单[7]。始终开启的相机和其他传感器还会给旁观者带来隐私风险,Krevelen和Poelman认为这会影响增强现实技术得到社会广泛接受[8]。旁观者应该能在他人录像时选择避开或隐匿身份,例如模糊影像;以前的研究曾考察过此类问题[9]。增强现实技术用户可能需要某些方式来向心存疑虑的旁观者证明这样的防护措施已然就位。立法或市场力量可能催生出对来自其他设备或环境的请求作出响应的相机;新闻报道披露,Apple已经考虑将这样的功能添加到iPhone来防止偷拍诸如音乐会之类的现场活动[10],相机还可在录制时提醒旁观者,例如通过闪光[11]或提供访问更复杂的政策信息的权限[12]。CVDazzle项目另辟蹊径,使用化妆来迷惑面部检测算法——这种方法无需隐私保护相机即可提供私密性[13]。CVDazzle的关键局限性是需要费力地为一种特定的面部检测算法进行手工调优。这里需要认真研究的一个课题是,如何找到一种通用算法来合成可迷惑面部检测的化妆。

(二)多应用程序的伦理挑战

虽然增强现实应用程序通常是独立构想并开发原型的,但是我们可以预期,未来的增强现实平台,如基于Google Glass或Microsoft Kinect构建的平台,将支持同时运行的多个应用程序,这些应用程序共享输入和输出设备,并相互公开数据和API。研究人员必须预见这些发展趋势,并确保在设计支持增强现实技术的操作系统时,适当考虑安全和隐私伦理。

首先,输出。在多应用程序增强现实技术中,各个应用程序将共享输出设备,包括显示屏、音频输出和触觉反馈。试图使用这些输出设备的多个应用程序之间若发生冲突,可能导致安全问题。例如,恶意应用程序可能试图遮蔽另一个应用程序呈现的内容(如在视觉或听觉上用不正确的翻译掩盖正确的翻译)。尽管如此,为了在增强现实技术中提供所需的功能,输出共享仍是必需的。例如,用户可能希望同时查看覆盖在实景视图上的来自多个应用程序的内容;例如,地图应用程序提供的方向、汇总邻近好友活动的社交信息、音乐应用程序当前播放的曲目等等。因此,一次只有一个应用程序控制显示屏的原生解决方案并不够用。

因此,未来的增强现实技术必须处理多个尝试生成输出的应用程序之间发生的冲突。例如,五个应用程序可能全都要标注同一个对象(如使用翻译字幕),系统需要为它们排列优先级。此外,用户应能知道哪些内容是由哪个应用程序生成的,这一点可能也很重要,例如,标注的产品推荐是来自好友还是广告商。增强现实技术设计者所创建的界面必须可让用户清楚知道或轻松发现所示内容的来源。基于输出篡改的传统攻击在增强现实环境下可能需要新的方法或新的规划。例如,在目前的系统中,应用程序可能发动点击劫持攻击,这种攻击诱骗用户点击另一个应用程序中的敏感用户界面元素,例如在用户社交媒体档案中发布某些内容。发动这些攻击的方式通常是篡改敏感元素的显示,使其透明或以巧妙的方式将其部分遮盖,或者就在用户点击可预测的位置之前突然显示敏感元素。未来增强现实技术的应用可能开发出诱骗用户与元素进行交互的新技术,而系统设计者必须预见到这些攻击。例如,增强现实应用程序可能试图诱骗用户与现实世界,而非虚拟世界中的对象交互。

其次,输入。用户可能不会使用传统输入方法,如点击鼠标或使用触摸屏来与增强现实技术交互。相反,用户可能越来越多地使用触觉传感器,如嵌在手套中的精细输入、使用语音或在视线跟踪技术的帮助下来与系统交互。有了这些输入技术和多个运行的应用程序,让系统解析哪个应用程序处于焦点位置,并因此而应接收输入就显得非常重要。例如,目前的语音交互发生在用户以显式地动作指明了目标应用程序之后(如单击iPhone上的“Siri”按钮),或者发生在只有一个应用程序可以接收语音输入的系统上(如在Xbox上)。当多个应用程序处于活动状态,并可能在任何给定时间接收语音或其他输入时,必须有一种有效的方法能让用户使应用程序获得焦点,或者在焦点不明的情况下,让系统决定输入命令发给哪个正确目标。我们强调:未来的增强现实技术很可能同时运行多个应用程序,其中的很多应用程序将一直运行并侦听输入,而没有任何可见的输出。设计不当的焦点程序解析可能让恶意应用程序轻松窃取本该发给另一个应用程序的用户输入,如窃取本该发给另一应用程序登录框的密码。例如,恶意应用程序可能尝试注册与另一个敏感的应用程序所使用的发音相似的口头关键字,从而有意增加输入歧义性。

最后,数据访问。跟传统操作系统一样,增强现实应用程序可能希望相互公开API,而用户可能希望在应用程序之间共享虚拟对象。研究人员必须针对跨应用程序共享摸索出恰当的访问控制模型。从传统访问控制设计得到的某些经验教训可能在此领域中适用,但是新的技术和环境可能需要新的方法。例如,复制、粘贴和拖放是长期固定下来的在传统应用程序之间共享数据的用户手势,因此在访问控制方面仍有意义。桌面和智能手机系统领域的大量研究已尝试将用户操作与应用程序特权对应起来,例如Miller[14]和Roesner等人[15]的研究。增强现实技术需要发展出新的用户手势来表明共享意图。此外,增强现实技术不太可能像传统桌面操作系统那样,在带标签的窗口中显示应用程序,因此我们需要新的交互范式来使用户能识别应用程序,并指出哪个应用程序应该接收共享数据。

(三)多系统的伦理挑战

跳出运行多个应用程序的单个增强现实技术,我们将考虑属于不同用户的多个增强现实技术间的交互。以前的增强现实技术研究提出了在一个增强现实技术的多用户之间协作的应用程序。这些应用程序包括多人游戏[16]、远程会议现场遥现[17]以及面对面协作[18]。这类应用程序带来了更多安全和隐私伦理挑战。

首先,输出。不同的用户可能看到由其各自增强现实技术所呈现的不同图景。例如,不同的用户可能看到叠加在现实公告牌上的不同的虚拟广告,或者根据用户的访问权限级别,可能向观看演示的不同用户显示不同的内容,一个用户可能看到绝密脚注,而其他用户则不然。如此相互冲突的视图要求用户妥善管理关于“谁可以感知哪些信息”的思维模式,以免他们意外透露只有自己才可使用的私密信息。要解决此问题,需要在界面设计方面开展创新,以便协助用户完成此类任务。

其次,输入。当支持技术提供的传感器输入在数量和复杂性方面呈上升态势时,增强现实技术和应用程序的复杂性也会随之上升,两者是密切相关的。如此大量的来自众多用户的传感器输入反过来会催生新的协作式传感应用程序,这些应用程序本身可向增强现实应用程序反馈数据。例如Google已经在使用由用户智能手机收集的数据来估计交通路况,然后报告给用户的手机。要实现未来可显示在汽车挡风玻璃上的增强现实应用程序,这类数据是必需的。

但是,这类聚合输入可被恶意用户用来愚弄数据收集系统。例如,评论网站可能利用位置跟踪,通过标注当天到场的平均人数来评测餐馆的热门程度。精明的餐馆老板可能出钱请人到餐馆站场,而这些人不买任何东西。餐馆的评测热门度会上升,但跟其服务质量毫无关系。不断收集数据的增强现实技术将推动此类协作感测应用程序的普及,因此,这些安全问题的重要性也会上升。另举一个例子,社区地震网络聚合了很多个人的测震仪传感器数据来检测和预测地震,攻击者可能操纵这些传感器来“伪造”异常地震活动,如鼓动受此项目监测的很多人在另外一个毫不相干的游戏中同时跳起。例如Improv Everything要求用户在指定的时间播放提供的音频文件,并按照音频指示行动[19]。可信任的传感器虽然对防止其他攻击非常重要,但在这种情况下毫无作用,因为现实情况受人操控。

最后,数据访问。除了向不同的用户显示不同的内容外,相互通信的增强现实技术将允许用户相互共享虚拟内容。例如,一个用户可能在其私有增强现实技术中创建虚拟文档,然后选择与其他用户的系统共享其显示内容,某些共享甚至可能很隐秘。想象一下,某个增强现实技术自动使用邻近用户的相机源来向某个给定用户提供他或她的实时3D模型。跨不同增强现实技术的隐式或显式共享数据可使很多有价值的应用成为现实。但是,这需要相应的访问控制模型和界面来允许用户管理这种共享。现在,由于人与数据项之间的复杂关系,用户已经很难针对Facebook等服务上的隐私设置形成自己的思维模式[20]。增强现实技术收集的大量数据以及虚拟对象与现实世界的集成只会使这个问题更加严峻。

二、应对伦理挑战的防御维度

与增强现实技术相关的某些伦理挑战与目前智能手机所面临的那些挑战,例如传感器数据的隐私和跨应用程序共享十分相似。某些情况下,恰当的增强现实的防御维度是借鉴并相应调整智能手机解决方案。例如,可以在短期内采用许可清单和应用商店审查流程,但长期来看,有多种原因造成增强现实技术环境下的方法必须有别于智能手机解决方案。

首先,对智能手机应用程序的资源需求分析[3]显示,大多数人只需要一次性或在短期内访问大多数资源,这使得需要上下文内用户交互的解决方案,如用户主导的访问控制[3]具有可行性。相比之下,增强现实应用程序需要长期或永久访问传感器数据,而且在规模上超越了智能手机应用程序。此外,增强现实技术资源访问对用户和旁观者来说,不如在智能手机环境中那样明确。例如,增强现实技术的相机将始终开启,而智能手机的相机即使被恶意软件开启,当它放在用户口袋里的时候,也不会提供很多数据。因此,我们认为在这一领域设计解决方案时,应全面考虑未来的增强现实环境。除此之外,在增强现实技术专用解决方案方面还需要开展新的研究。例如,研究人员已经开始考虑增强现实特有的操作系统支持[21]。增强现实应用程序以及底层操作系统自然地遵循特定的流程,因此我们可以相应地确定研究方向,并且不同的研究模型可以在应用程序和操作系统之间假设不同的边界。在第一阶段“传感”中,应用程序(或操作系统)收集原始传感数据,如音频、视频或无线电波。这里的研究包括限制收集哪些传感信息,如“礼貌”相机[22]或限制这些信息的使用如保留策略。

其次,在识别阶段,机器学习算法通过高级语义提取对象:如图中显示的Kinect骨架、面部、关联的姓名和语音命令触发器。相关研究包括更改对象以造成漏报,如CVDazzle[23],以及支配应用程序访问对象的策略[24]。应用程序或操作系统在用户感觉的基础上呈现视觉和听觉等内容。这里的研究包括:发现那些为避免伤害用户而必须遵守的约束条件,以及构建遵守这些约束条件的高性能“可信任呈现器”。并非所有增强现实技术防御方向都会由技术解决方案组成,某些挑战可能需要社交、策略或法律方法,例如,前面讨论过的旁观者屏蔽和隐私保护相机的潜在策略。同样,其他问题也将从非技术方法中获益。

最后,我们呼吁为在此领域工作的研究者提供增强现实技术测试台。今天的大多数试验性增强现实应用程序依赖于Microsoft Kinect或Lay增强现实技术之类的智能手机平台;两者只涉及一次性运行的单一应用程序,因而隐藏了随着增强现实技术的复杂性增加而出现的挑战。

三、增强现实技术带来的新机遇

虽然增强现实技术产生了重要的伦理问题,但通过将这些技术运用到现有问题上,它们有利于增强技术系统的安全和隐私,只是这样的机会目前尚未充分利用。这里,我们考虑了由增强现实技术和系统实现的新型安全和隐私增强应用程序所带来的机遇。

(一)利用个人视野

集成平视式或其他个人显示屏的增强现实技术可利用个人视野来解决现有的安全和隐私问题,尤其是保护私有数据和改进密码管理。

个人显示屏可以很好地防止肩窥,因为用户可与只在自己的视野中可见的应用程序交互。例如,在现在的飞机上使用笔记本电脑的人会把他看到和输入的所有内容暴露给邻座的人,研究人员已经证明,低成本相机拍摄的视频即可重构用户在虚拟移动键盘上的键入[25]。个人平视式显示屏若与用于隐蔽输入的触觉传感器相结合,将大大提高隐私性。①个人显示屏可在现实世界中进一步增强内容加密,使得只有预期接收人的增强现实技术可以解密。例如,公司可以在公告牌上发布加密通知,员工可通过公司配发的增强现实技术阅读这些通知,但是公司大楼的访客无法阅读。在增强现实技术可访问的服务器上只存储密钥,而不是加密内容,这样竞争对手就只能去寻找实体通知,而不是攻破公司服务器即可了事。此类系统的前身如今已借助智能手机和2D条形码(将URL编码为具有相应访问控制的数据)实现,增强平视式显示屏将省去手动扫描的需要。

增强现实技术还可充当用户的增强密码管理器,通过个人显示屏显示密码或密码提示。例如,显示屏可以概略显示用户在老式设备,例如ATM PIN键盘上必须输入的相应字符。届时,就可以为用户分配强密码,因为他们无需实际记住密码。这种应用离不开无痕跟踪以及可妥善保护所存储密码的系统设计。比如,实现了由Google Glass应用程序和浏览器(Chrome)扩展组成的原型密码管理器应用程序。Chrome扩展修改了浏览器的用户界面,以显示代表当前所示网站的QR代码(浏览器地址栏中的网站)。用户可要求Google Glass应用程序扫描这些QR代码,并使用语音命令“OK Glass,find password”来查询密码数据库。如果用户以前存储过该网站的密码,则应用程序将显示密码;否则,用户可登记新密码,他们可以要求Chrome扩展生成登记QR码,并使用“enroll password”语音命令存储新密码。在设计由浏览器扩展显示的QR码时,我们纳入了浏览器和手机共享的机密,这样一来,此应用程序还可提供钓鱼保护,因为网站无法创建并显示映射到密码管理器中的合法密码的伪造QR码。

(二)利用复杂传感器系统

增强现实技术得益于多种输入和传感设备的组合,这些设备结合在一起,可增强数字及物理安全性和隐私性。未来的系统可利用增强现实技术检测应用提醒用户注意的隐私或安全条件。例如,系统可以在检测到相机镜头对准用户时提醒用户,使用计算机视觉来检测镜头发射出的闪光等,而不是依赖隐私保护相机来将用户从不需要的录像中屏蔽[26]。还可以检测某些形式的窃听,例如指向窗口的激光麦克风。这样的系统还可检测物理欺骗企图,例如增强现实技术可以估计ATM卡槽的大小和形状,如果发现似乎加装了盗刷装置,系统就会发出警告。同样,面部表情自动识别方面的现有研究[27]也可运用于基于行为的谎言检测[28],有学者将此应用称为“蜘蛛侠感觉”。

除了存储密码外,增强现实技术还可用于隐式鉴别用户身份。使用这些技术以及附着在人身上的大量传感器都可用来根据生物特征和行为特征鉴定用户身份。以前的研究考察了在手机上实现此类机制的可能性[29]。增强现实技术将提供更为强大的身份验证功能。传感器数据同样有助于做出授权和访问控制决策。

除了附加在个人(比方说Alice)身上的传感器外,旁观者的传感器也可用来验证她的身份(将Alice的第三方视觉、听觉和其他感官视图提供给身份验证系统)。此第三方身份验证系统将信任那些没有动机以虚假方式验证Alice的系统和人员。

四、结论

增强现实技术具有精密而普适的输入、输出和处理能力,它们具备让很多用户明显受益的潜力。为了促进增强现实技术的持续创新,我们认为,在增强现实技术得到广泛部署,并且其体系结构得以确定之前,现在还应制定路线图来保护增强现实技术的计算机安全和个人隐私。为了催生此路线图,我们考虑了这些系统所面临的新的安全和隐私挑战,并且探索了由这些技术带来的机遇,希望籍此创建新的隐私和安全得到增强的应用程序。

[注释]

①我们注意到,从外部观者的角度,透视显示屏(如Google Glass所用的显示屏)并非完全私密。例如,类似于根据屏幕反射重构内容,使用远距镜头拍摄的显示屏图像可用来重构屏幕内容。未来的研究应充分揭示此类威胁的特征,并设计相应的防御措施。

[1]Sutherland I E.A head-mounted three-dimensional display[C].In Proceedings of the Fall Joint Computer Conference,American Federation of Information Processing Societies,1968.

[2]Azuma R T.A survey of augmented reality[J].Presence:Teleoperators and Virtual Environments,1997(6):355-385.

[3]Roesner F,Kohno T,Moshchuk A,et al.User-driven access control:Rethinking permission granting in modern operating systems[J].IEEE Symposium on Security and Privacy,2012(6):3-15.

[4]Poulsen K.Hackers assault epilepsy patients via computer[EB/OL].http://www.wired.com/politics/security/news/2008/03/epilepsy,2008.

[5]Parviz B.For your eye only[J].IEEE Spectrum 46,2009(9):36-41.

[6]CNN.Augmented-reality windshields and the future of driving[EB/OL].http://virtual.vtt.fi/virtual/proj2/multimedia/alvar.html,2012.

[7]Roesner F,Kohno T,Moshchuk A,et al.User-driven access control:Rethinking permission granting in modern operating systems[J].IEEE Symposium on Security and Privacy,2012(8):10.

[8]Van Krevelen D,Poelman,R.A survey of augmented reality technologies,applications,and limitations[J].The International Journal of Virtual Reality,2010(9):1-20.

[9]Halderman J A,Waters B,Felten E W.Privacy management for portable recording devices[J].In Proceedings of the 3RDACM Workshop on Privacy in Electronic Society,2004(10):1-3.

[10]Business Insider.This apple patent will shut down your camera at live concerts[EB/OL].http://www.businessinsider.com/iphone-concert-patent,2011-6.

[11]Van Krevelen D,Poelman R.A survey of augmented reality technologies,applications,and limitations[J].The International Journal of Virtual Reality,2010(9):1-20.

[12]Maganis G,Jung J,Kohno,T,et al.Sensor Tricorder:What does that sensor know about Me?[J].In Proceedings of the 12th Workshop on Mobile Computing Systems and Applications,2011(20):3-7.

[13]Microsoft.Kinect for Windows[EB/OL].http://www.microsoft.com/en-us/inectforwindows/.

[14]Miller M S.Robust Composition:Towards a Unified Approach to Access Control and Concurrency Control.Ph.D.thesis[M].Johns Hopkins University,Baltimore,MD,2006:70.

[15]Roesner F,Kohno T,Moshchuk,A,et al.User-driven access control:Rethinking permission granting in modern operating systems[J].IEEE Symposium on Security and Privacy,2012(8):10-11.

[16]Henrysson A,Billinghurst M,And Ollila M.Face to face collaborative AR on mobile phones[J].In Proceeding of the 4thIEEE/ACM International Symposium on Mixed&Augmented Reality,2005(20):3-9.

[17]Kato H,Billinghurst M.Marker tracking and HMD calibration for a video-based augmented reality conferencing system[J].In IEEE/ACM Workshop on Augmented Reality,1999(6):9-12.

[18]Reitmayr G,Schmalstieg D.Mobile collaborative augmented reality[J].In Proceedings of the 4th International Symp.on Augmented Reality,2001(2):77-78.

[19]FELDMAN,JILL.Improv Everywhere[J].Modern Painters,2012(1):20.

[20]Madejski M,Johnson M,Bellovin S M.The Failure of Online Social Network Privacy Settings[M].Tech.Rep.CUCS-010-11,Dept.of Comp.Science,Columbia University,2011:11.

[21]D’Antoni L,Dunn A,Jana S,et al.Operating system support for augmented reality applications[C].In Proceedings of USENIX Workshop on Hot Topics in Operating Systems,2013.

[22]Halderman J A,Waters B,Felten E W.Privacy management for portable recording devices[C].In Proceedings of the 3rd ACM Workshop on Privacy in E-lectronic Society,2004(3):223.

[23]Harvey A.CVDazzle:Camouflage from Computer Vision[EB/OL].http://cvdazzle.com/.

[24]Jana S,Molnar D,Moshchuk A,et al.Enabling finegrained permissions for augmented reality applications with recognizers[J].Tech.Rep.MSR-TR-2013-11,Microsoft Research,2013(9):42.

[25]Raguram R,White A M,Goswami D,et al.iSpy:automatic reconstruction of typed input from compromising reflections[C].In Proceedings of the 18th ACM Conf.Computer and Communications Security.

[26]Truong K,Patel S,Summet J,Abowd G.Preventing camera recording by designing a capture-resistant environment[C].Proceedings of Ubicomp,2005.

[27]Hoque M E,McDuff D,Picard R W.Exploring temporal patterns in classifying frustrated and delighted smiles[J].IEEE Transactions on Affective Computing,2012(3):323-334.

[28]Vrij A,Edward K,Roberts K,Bull R.Detecting deceit via analysis of verbal and nonverbal behavior[J].Journal of Nonverbal Behavior,2000(24):239-263.

[29]Jakobsson M,Shi E,Golle P,Chow R.Implicit authentication for mobile devices[C].In Proceedings of the 4th USENIX Workshop on Hot Topics in Security,2009:33-37.