Исследователи безопасности придумали довольно странный эксплойт для Vision Pro. Он получил название GAZEploit и представляет собой способ узнать пароли пользователей Vision Pro, наблюдая за движениями глаз их аватаров во время видеозвонков.

Они подготовили видеоролик на YouTube, демонстрирующий, как отслеживание движений глаз аватара точно определяет виртуальные клавиши, на которые смотрит пользователь Vision Pro при наборе текста.

Когда пользователь набирает текст в Vision Pro как на устройстве, оно отображает большую виртуальную клавиатуру и использует отслеживание движения глаз, чтобы определить, на какую клавишу смотрит пользователь, когда тот набирает текст.

Проблема в том, что если вы разговариваете по видеосвязи, глаза вашего аватара будут точно отражать направление ваших собственных глаз, и злоумышленник может следить за их движениями, чтобы определить, на какие клавиши вы смотрите во время набора текста.

Нейронная сеть может даже определить, в какой момент вы набираете текст.

Команда проанализировала движения глаз 30 пользователей Vision Pro и смогла добиться очень высокой точности.

Во время набора текста взгляд пользователя перемещается между кнопками и фиксируется на клавише, которую нужно нажать, что приводит к саккадам, за которыми следуют фиксации взгляда. Саккады – это период, когда пользователь быстро переводит взгляд с одного объекта на другой. Фиксации – это период, когда пользователь смотрит на объект.

Мы разработали алгоритм, который рассчитывает стабильность отслеживания взгляда и устанавливает порог для классификации фиксаций от саккад. Мы используем точки оценки взгляда в области высокой стабильности в качестве кандидатов на нажатие. Оценка на нашем наборе данных показала точность и отзыв 85,9 % и 96,8 % при идентификации нажатий клавиш во время сеансов набора текста.

Помимо обнаружения паролей, GAZEploit также смог отслеживать набор текста в сообщениях и адреса веб-сайтов, которые пользователи Vision Pro вводят во время видеозвонков.

Демонстрационный ролик можно посмотреть ниже, а более подробную информацию – найти по этой ссылке.

Согласно данным, исследователи сообщили Apple об уязвимости в апреле, и компания устранила проблему в обновлении visionOS 1.3 в июле. Обновление приостанавливает работу «Персоны», когда активна виртуальная клавиатура Vision Pro.


Ещё по теме: