苹果 Vision Pro 曝出严重漏洞,黑客可通过用户眼动输入窃取信息

举报
小王老师 发表于 2024/09/15 18:18:15 2024/09/15
【摘要】 苹果 Vision Pro 曝出严重漏洞,黑客可通过用户眼动输入窃取信息

近日,苹果公司的 Vision Pro 混合现实头戴式设备曝出一个安全漏洞,一旦被黑客成功利用,他们就可以推断出用户在该设备的虚拟键盘上输入的具体数据。

该攻击活动名为 GAZEploit,该漏洞被追踪为 CVE-2024-40865。

佛罗里达大学的学者对此表示:这是一种新颖的攻击,因为攻击者可以从头像图片中推断出与眼睛有关的生物特征,从而重建通过注视控制输入的文本。GAZEploit攻击利用了用户共享虚拟化身时凝视控制文本输入的固有漏洞。

在该漏洞披露后,苹果公司在 2024 年 7 月 29 日发布的 visionOS 1.3 中解决了这一问题。据苹果描述,该漏洞影响了一个名为 “Presence ”的组件。

该公司在一份安全公告中说:虚拟键盘的输入可能是从 Persona 中推断出来的,其主要通过 “在虚拟键盘激活时暂停 Persona ”来解决这个问题。

研究人员发现,黑客可以通过分析虚拟化身的眼球运动或 “凝视”来确定佩戴该设备的用户在虚拟键盘上输入的内容,极易导致用户的隐私泄露。

假设黑客可以分析通过视频通话、在线会议应用程序或直播平台共享的虚拟化身,并远程执行按键推断,那么他们就可以利用这一点提取用户键入的密码等敏感信息。

攻击主要是通过对 Persona 记录、眼球长宽比(EAR)和眼球注视估计进行训练的监督学习模型来完成的,以区分打字会话和其他 VR 相关活动(如观看电影或玩游戏)。虚拟键盘上的注视方向会被映射到特定的按键上,以便确定潜在的击键方式,同时还考虑到键盘在虚拟空间中的位置。

研究人员表示:通过远程捕捉和分析虚拟化身视频,攻击者可以重建用户键入的按键。目前,GAZEploit 是该领域首个已知利用泄露的注视信息远程执行按键推断的攻击方式。

【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。