Objevily se podrobnosti o nyní opravené bezpečnostní chybě, která ovlivňuje smíšenou realitu headsetu Apple Vision Pro. Pokud by byla úspěšně zneužita, mohla by umožnit škodlivým útočníkům odvodit data zadaná na virtuální klávesnici zařízení. Útok, nazvaný GAZEploit, byl přiřazen identifikátor CVE CVE-2024-40865.
„Nový útok, který může odvodit biometrické údaje související s očima z obrazu avatara k rekonstrukci textu zadaného pomocí psaní řízeného pohledem,“ uvedla skupina akademiků z University of Florida, CertiK Skyfall Team a Texas Tech University.
Útok GAZEploit využívá zranitelnost inherentní v psaní řízeném pohledem, když uživatelé sdílejí virtuálního avatara. Po zodpovědném zveřejnění Apple vyřešil problém ve visionOS 1.3 vydaném 29. července 2024. Popsal zranitelnost jako ovlivňující komponentu nazvanou Presence.
„Vstupy do virtuální klávesnice mohou být odvozeny z Persony,“ uvedl v bezpečnostním upozornění a dodal, že problém vyřešil „pozastavením Persony, když je virtuální klávesnice aktivní.“
V kostce, výzkumníci zjistili, že bylo možné analyzovat pohyby očí virtuálního avatara (nebo „pohled“) k určení toho, co uživatel nosící headset psal na virtuální klávesnici, čímž efektivně ohrožovali jejich soukromí.
Výsledkem je, že hrozebný aktér by mohl hypoteticky analyzovat virtuální avatary sdílené prostřednictvím videohovorů, online meetingových aplikací nebo platforem pro živé vysílání a vzdáleně provádět odvození stisků kláves. To by pak mohlo být zneužito k extrakci citlivých informací, jako jsou hesla.
Útok je následně proveden pomocí modelu učení s dohledem, který je trénován na záznamech Persony, poměru aspektu oka (EAR) a odhadu pohledu oka k rozlišení mezi psacími sezeními a jinými aktivitami souvisejícími s VR (např. sledování filmů nebo hraní her).
V následujícím kroku jsou směry odhadu pohledu na virtuální klávesnici mapovány na konkrétní klávesy, aby bylo možné určit potenciální stisky kláves takovým způsobem, že se také bere v úvahu umístění klávesnice ve virtuálním prostoru.
„Zachycením a analýzou videa virtuálního avatara může útočník rekonstruovat zadané klávesy,“ uvedli výzkumníci. „Pozoruhodně je útok GAZEploit prvním známým útokem v této oblasti, který využívá uniklé informace o pohledu k vzdálenému provádění odvození stisků kláves.“
Zdroj: thehackernews.com