Data om huvud- och handrörelser som samlas in från VR-headset kan vara lika effektiva för att identifiera individer som fingeravtryck eller ansiktsskanningar, visar forskningsstudier, vilket potentiellt kan äventyra användarnas integritet när de vistas i virtuella miljöer.

Två nyligen genomförda studier av forskare vid University of California, Berkeley, visade hur data som samlas in av VR-headset kan användas för att identifiera individer med hög noggrannhet och potentiellt avslöja en mängd personliga attribut, inklusive längd, vikt, ålder och till och med civilstånd, något nyhetsbyrån Bloomberg rapporterade om nyligen.

Efterfrågan på VR-headsets har ökat kraftigt under de senaste åren, i takt med att allt kraftfullare enheter blivit tillgängliga till lägre priser. Försäljningen av VR- och AR-headset (augmented reality) förväntas enligt IDC nå 10 miljoner enheter i år och 25 miljoner år 2026.

Trots motreaktioner mot konceptet som kallas metaverse fortsätter stora teknikföretag som Meta, Apple och HTC att investera tiotals miljarder dollar i utvecklingen av VR- och AR-enheter varje år i ett försök att driva på den allmänna spridningen.

Enheterna innehåller en rad kameror och sensorer som kan spåra kropps-, ögon- och ansiktsrörelser. Dessa fungerar som indata för VR-mjukvara, som gör det möjligt för användare att interagera med virtuella miljöer. Data bearbetas på enheten, men kan också delas med externa servrar, programvaror som spel och med virtuella mötesplattformar - vilket leder till en risk för att personuppgifter läcker ut.

I en studie som publicerades av författarna från UC Berkeley i februari undersöktes hur rörelsedata som genereras i VR-enheter kan användas för att ”unikt identifiera” en annars anonym användare.

Studien omfattade data från mer än 55 000 användarkonton på Beat Saber, ett populärt rytmbaserat VR-spel som har sålts i miljontals exemplar sedan lanseringen. Forskarna analyserade offentliga data från 2,5 miljoner spelinspelningar med hjälp av maskininlärningsalgoritmer och kunde identifiera individer från en pool på 50 000 med en noggrannhet på 94 procent med bara 100 sekunders data om huvud- och handrörelser.

Det har varit känt i årtionden att rörelsedata kan användas för att identifiera individer, men UC Berkeley-forskarna hävdar att detta är den första studien som visar omfattningen av hotet mot den personliga integriteten. Den bredare användningen av VR-headset och spel som Beat Saber ger nu tillgång till ett mycket större dataset än tidigare studier, som förlitade sig på mycket mindre grupper av deltagare – den största var 511 användare, säger forskarna med hänvisning till en studie från 2020.

”Detta arbete är det första som verkligen visar i vilken utsträckning biomekanik kan fungera som en unik identifierare i VR, i nivå med allmänt använd biometri som ansikts- eller fingeravtrycksigenkänning”, står det i forskningsrapporten.

Skillnaden är att ansikts- och fingeravtrycksigenkänning inte krävs för att få tillgång till befintliga internettjänster, konstaterar forskarna i ett pdf-dokument relaterat till studierna, medan rörelsedata är en ”grundläggande del” av hur AR- och VR-enheter fungerar och måste delas med ”en mängd olika parter för att möjliggöra metaverse-upplevelser”.

En annan studie, som publicerades i juni, baserades på en undersökning med mer än 1 000 deltagare som svarade på en rad frågor om 50 attribut som rörde personlig bakgrund, demografi, beteendemönster och hälsoinformation. Resultaten visade att mer än 40 av dessa kunde härledas ”konsekvent och tillförlitligt” när algoritmer för maskininlärning och djupinlärning tillämpades på rörelsedata som genererats av Beat Saber-spelare.

Syftet med studien var att visa att ”ett brett spektrum av personliga och integritetskänsliga variabler kan härledas från huvud- och handrörelser”, säger forskarna. Resultaten bör tjäna till att belysa det ”brådskande behovet av integritetsskyddande mekanismer i VR-applikationer för flera användare.”

Även om många människor är vana vid datainsamling på befintliga internetplattformar finns det begränsad kunskap om integritetsfrågor i virtuella miljöer, hävdar forskarna – och en brist på tillgängliga verktyg för att bevara anonymiteten.

Integritetsutmaningar är knappast något nytt, men AR/VR-enheter och virtuella miljöer är ett nytt område.

– Som vi har sett medför den ökade digitaliseringen nya risker när det gäller att exponera privat information", säger Tuong Nguyen, chefsanalytiker på Gartner.

Förutom att skapa anpassade upplevelser för användarna kan data från VR-headset också ”rekonstrueras till en beteendeprofil - en annan, mycket detaljerad vektor av privat information”, säger Nguyen.

– Eftersom VR-headseten bärs på användarens ansikte är de i sig intima, säger Leo Gebbie, analytiker på CCS Insight.

Alltmer sofistikerade enheter ”ser vad en användare ser tack vare externa kameror och kan spåra användarnas rörelser och beteenden tack vare deras utbud av sensorer”, säger han.

– Detta genererar helt klart frågor kring användardata och integritet, eftersom detta utan tvekan är en mer invasiv form av bärbar teknik än något vi har sett tidigare.

I takt med att användningen ökar jobbar leverantörerna av VR-headsets redan med att hantera integritetsfrågorna. Det inkluderar att ”begränsa hur mycket biometrisk data som är tillgänglig för tredjepartsapplikationer, bearbeta och behålla ytterligare spårningsdata på enheten, anonymisera och aggregera all delad data etc”, enligt Nguyen.

Frågan om användarnas integritet kommer att bli enormt viktig för VR-industrin, säger Gebbie.

– Vi ser redan hur företag växlar upp sina ansträngningar för att förekomma oron här.

Gebbie nämnde Apples kommande Vision Pro-headset, som innehåller 12 kameror, fem sensorer och sex mikrofoner, men kommer att hålla viktiga användardata som ögonspårning och irisskanning helt krypterade och på enheten, för att lugna användarnas oro.

– Jag förväntar mig att detta blir ett mer betydande fokusområde för rivaler som Meta, som också kommer att vara angelägna om att visa att de respekterar användarnas integritet, säger han.

Under de senaste åren har olika leverantörer av VR-headset riktat in sig på företagsanvändning, där användningsgraden fortfarande är låg. Hittills har företagsanvändningen till stor del handlat om utbildning av anställda och fjärrhjälp, men leverantörerna hoppas att VR så småningom även kommer att användas för samarbete och produktivitet på arbetsplatsen.

Oro för integriteten kan leda till motstånd från anställda, säger Gebbie.

– Anställda kan känna att VR-headset inkräktar på deras integritet, särskilt eftersom många människor nu arbetar flexibelt och kan motsätta sig tanken på att ta med en enhet med flera kameror och sensorer in i sitt hem", säger han.

Möjligheten att identifiera individer via data från rörelsespårning kan innebära en rad olika problem. Till exempel kan det förhindra att man separerar arbetsrelaterade och personliga profiler, enligt UC Berkeley-forskarna.

”Tänk dig en offentlig person som regelbundet använder ett VR-system med sina företagsuppgifter för att hålla möten och utföra professionellt arbete. På kvällen loggar de in med ett annat konto för att spela VR-spel för flera spelare (där de kanske inte beter sig på det mest professionella sättet), och senare på kvällen använder de ett tredje konto för VR-upplevelser för vuxna”, skriver forskarna.

”De flesta människor i den här situationen skulle rimligen föredra att tjänsteleverantörerna inte kunde knyta samman dessa konton. Som det ser ut nu skulle användarens unika rörelsemönster göra det möjligt för en observatör (eller grupp av observatörer som samarbetar) att snabbt koppla samman alla dessa konton.”

Användare av smartphones och molntjänster har tidigare visat en anmärkningsvärd vilja att offra sin integritet för bekvämlighet. Samma sak kan komma att gälla för VR.

– En gång i tiden kanske anställda inte ville ha en smartphone från jobbet, eftersom denna enhet också har kameror, mikrofoner och gör människor mer kontaktbara utanför arbetstid; men detta har gradvis normaliserats som beteende", säger Gebbie.

– VR kan följa en liknande väg, där det kan finnas ett visst initialt motstånd som sedan försvinner med tiden.

Ur ett affärsperspektiv är dataskyddsriskerna än så länge begränsade, med tanke på den begränsade användningen av VR i företag hittills.

– Företagens användning av VR är fortfarande i sin linda, säger Nguyen.

– Det finns både integritets- och säkerhetsproblem, men för närvarande minskar den lilla skalan den potentiella risken något.