Auch schon vor der Zeit des notwendig auferlegten Zuhausebleibens erfreute sich die virtuelle Realität in jüngster Vergangenheit einer immer größer werdenden Beliebtheit. Nicht zuletzt trägt die Oculus Quest vom Mutterkonzern Facebook einen erheblichen Anteil dazu bei. Die autarke VR-Brille kommt vollständig ohne Kabel (abgesehen vom Ladekabel natürlich) und vor allem ohne die Hilfe eines potenten Rechners aus, der im Hintergrund die eigentlichen Berechnungen durchführt. Damit hat die Quest im Gegensatz zu den zwar höherauflösenden, aber deutlich stationäreren Varianten der großen Mitbewerber einen entscheidenden Vorteil für die sogenannte Casual-Gamer-Gruppe, bei der sich die Begeisterung für die kabelgebundenen Lösungen bisher sehr in Grenzen hielt. Zudem ist das standalone VR-Headset mit einem Preis angefangen bei 450€ auch deutlich günstiger als alle Mitbewerber. Und so verkauft sich die Quest und die darauf erscheinenden Softwaretitel seit Release 2019 wie das vielzitierte geschnitten Brot.

Ein mit Kamera und Mikrofon ausgestattetes Facebook-Produkt in hunderttausenden Haushalten also? Grund genug für uns, die Quest vom Standpunkt Sicherheit und Privatsphäre einmal genauer unter die Lupe zu nehmen…

Technik

In der Oculus Quest arbeitet eine Qualcomm Snapdragon 835 Achtkern-CPU zusammen mit einer Adreno 540 GPU vom selben Hersteller auf einem Android OS Version 7.1.1. Die Darstellung erfolgt über zwei PenTile OLED-Displays mit einer maximalen Auflösung von jeweils 1440 × 1600 bei 72 Hz. Das Tracking in sechs Freiheitsgraden wird visuell über vier Schwarz-Weiß-Weitwinkelkameras an den äußeren Ecken der Brille realisiert. Zusätzlich stecken noch Beschleunigungs- und Näherungssensoren sowie ein Gyroskop und Magnetometer in der Brille bzw. den Controllern. Die Kommunikation des Systems läuft wenig überraschend über Bluetooth und WLAN. Über den USB Typ C-Anschluss wird die Brille geladen sowie Oculus Link realisiert, über das die Quest auch verwendet werden kann, um PC VR-Softwaretitel darzustellen.

Mobile Applikationen

Sowohl auf Android (v55.0.0.1.118) als auch auf iOS (v55.0) erlauben sich die Applikationen zur Oculus Quest Facebook-typisch keine wirklichen Schwächen im Bereich Sicherheit: Bei beiden Versionen ist die Online-Kommunikation zu jedem Zeitpunkt durch eine adäquate Verschlüsselung abgesichert. Auch übliche Man-in-the-Middle-Attacken laufen hier ins Leere. Um das implementierte Zertifikats-Pinning zu umgehen, muss die Applikation an sich gepatcht werden. Diese Möglichkeit hat ein Remote-Angreifer nicht und selbst mit physischem Zugang zum Smartphone wäre dies nicht ohne weiteres und vor allem nur schwerlich unbemerkt machbar.

Die statische Analyse identifiziert zwar einige potentielle Schwachstellen in der allgemeinem Implementation der Applikationen, allerdings sind diese alle eher theoretischer Natur und stellen unserer Einschätzung nach keine praktische Gefahr dar.

Berechtigungsliste der Android-Applikation (com.oculus.twilight)

Die Applikationen lassen sich wenig überraschend eine recht große Zahl von Berechtigungen zusichern, die ihnen weitgehende Handlungsmöglichkeiten gewähren. Darunter die Berechtigungen für das Auslesen von und die Authentifizierung über die dem Nutzergerät bekannten Accounts, das Lesen und Schreiben des externen Speichers, Lesen und Ändern diverser Systemeinstellungen und das Downloaden und Installieren zusätzlicher Inhalte. Zusammen mit den diversen enthaltenen Facebook-Trackern und SDK’s (wie beispielsweise Instagram) kann wohl ziemlich sicher davon ausgegangen werden, dass hier einiges an Nutzungsdaten erfasst wird – Was bei einem Facebook-Produkt aber auch niemanden überraschen sollte. Von der rein sicherheitstechnischen Seite gibt es allerdings keinen Grund für ernsthafte Kritik.

Enthaltene Facebook-Tracker

Online-Kommunikation

Wie bereits erwähnt, ist die Kommunikation der Applikationen über das Internet zu jedem Zeitpunkt absolut adäquat abgesichert, ohne ein Indiz auf eine ausnutzbare Schwachstelle. Selbiges gilt auch für die Kommunikation der Brille selbst. Bei dieser fällt lediglich auf, dass sie quasi dauerhaft kommuniziert. Sobald die Brille eingeschaltet wird, baut sie eine Verbindung zu den Oculus- bzw. Facebook-Servern auf und sendet dann auch fast ununterbrochen. Wir haben den Traffic nach dem Anschalten, im Hauptmenü, während der Verwendung und selbst im Stand-by beobachtet und stellten zu jedem Zeitpunkt einen recht regen Austausch mit der Cloud fest. Natürlich ist es an dieser Stelle schwer, Aussagen über den Inhalt der Kommunikation zu treffen, da die Verbindungen der Brille sicher verschlüsselt und auch im Labor nicht ohne weiteres aufzubrechen sind. Da die Brille aber auch offline, also ohne eingeschaltetes WLAN durchaus verwendbar ist, kann man davon ausgehen, dass die übertragenen Daten nicht  ausschließlich der Funktionalität dienen können. Abgesehen davon sind aber rein aus sicherheitstechnischer Sicht keine Gründe für Kritik in diesem Punkt identifizierbar.

Datenschutz und Privatsphäre

In der Tat ist die Oculus Datenschutzerklärung in diesem Punkt sehr detailliert und geht auf die wichtigsten Themen ein. Der Nutzer wird unter anderem direkt darüber aufgeklärt, dass sämtliche Facebook-Systeme, inklusive der Quest, auf gemeinsamer Datenbasis laufen. Die Daten die von der Quest erfasst werden, laufen also intern bei Facebook mit den verknüpfbaren Nutzerdaten aus Facebook, Instagram, Whatsapp, Oculus und jedem anderen Dienst, der zur Facebook-Gruppe gehört oder schlicht das Facebook-SDK integriert und verwendet, zusammen. Dementsprechend werden die aufgezeichneten Daten bei Bedarf auch mit der gesamten Firmengruppe, zu der Oculus seit 2014 gehört, geteilt und weltweit verarbeitet. Eine Verknüpfung mit dem eigenen Facebook-Account ist nicht obligatorisch, dies ist aus Facebook-Sicht aber vermutlich auch gar nicht notwendig, um diese intern trotzdem durchzuführen.

Gespeicherte Daten sind online einsehbar, u.a. Apps und Inhalte, Login-Versuche, aktive Sitzungen mit IP-Adresse usw.

Bei der Registrierung ist neben der Mail-Adresse und einem Nickname auch der Vor- und Nachname anzugeben. Weitere Daten sind optional. Über die Person erfasste Daten werden mit anderen vorliegenden und öffentlich bzw. kommerziell verfügbaren Daten kombiniert. Die Nutzung sämtlicher Inhalte, Spiele und Apps wird ebenfalls erfasst, um die genutzten Dienste zu personalisieren und relevante Informationen anzuzeigen. Letztere inkludieren auch Werbenachrichten und -inhalte innerhalb und außerhalb der Dienste. Auch Drittparteien können Informationen erfassen, um innerhalb und außerhalb der Oculus- bzw. Facebook-Dienste Werbung anzuzeigen, beispielsweise mit Hilfe von Informationen, die auf verschiedenen Webseiten bzw. Online-Diensten im Laufe der Zeit erfasst wurden. Aufgezeichnete, personenbezogene Daten werden solange gespeichert, bis sie nicht mehr benötigt werden, beispielsweise also bis zur Kontolöschung. Diese ist neben der Anzeige der über die Person gespeicherten Daten, direkt online möglich.

Fazit

Die Oculus Quest ist ohne Frage technisch eine echte Neuerung, die den Erfolg, den sie zu verbuchen hat verdient und den Einstieg in die virtuelle Welt quasi für jedermann so einfach macht wie nie. Aus datenschutztechnischer Sicht ist sie natürlich, auch (oder besonders) aufgrund ihrer Herkunft und Unternehmenszugehörigkeit, eher als fraglich einzuschätzen – Sie bietet dem Unternehmen, das sowieso schon digitale Einsicht in das Leben so ziemlich jedes vernetzten Menschen auf dem Planeten hat, die Möglichkeit, nun auch noch ein Ohr und ein Auge in dessen analoges Leben zu werfen. Zumindest macht Facebook in ihrer Datenschutzerklärung auch keinen Hehl daraus, sodass auch formal kein Grund zur Beanstandung gegeben ist.

Die Quest reiht sich damit in die Gruppe der Orwell’schen Überwachungsalbträume, der Alexas, Siris und Okay Googles ein, ist allein betrachtet aber auch nicht „schlimmer“ als diese. Der Nutzer sollte sich der möglichen Implikationen nur in jedem Fall bewusst sein.

Vom Standpunkt der Sicherheit ist sie in jedem Fall auf einem ähnlichen Niveau, wie die anderen genannten und hat dementsprechend auch die vollen 3-Sterne verdient.