Хакеры могут украсть пароли с Apple Vision Pro по движению глаз

Исследователи из Университета Флориды и Техасского технологического университета выявили уязвимость в очках смешанной реальности Apple Vision Pro, которая позволяет удаленно получать пароли и другую информацию, вводимую с помощью виртуальной клавиатуры. Этот метод, названный GAZEploit, использует анализ движения глаз для доступа к вводимым данным во время видеозвонков.

Основные аспекты уязвимости GAZEploit:

• Работа с 3D-аватаром: Во время видеозвонков Vision Pro создает 3D-аватара, который точно отображает направление взгляда пользователя. Это позволяет злоумышленникам отслеживать, на какие клавиши нажимает пользователь.

• Два этапа атаки:

  1. Определение расположения клавиатуры: На первом этапе используются геометрические расчеты и анализ поведения взгляда (например, снижение частоты морганий и фиксации) для определения расположения и размеров виртуальной клавиатуры.
  2. Анализ данных: На втором этапе полученная информация сопоставляется с раскладкой клавиатуры, что позволяет точно определить, какие клавиши были нажаты. Исследователи достигли точности в 85,9% и полноты в 96,8%.

• Патч от Apple: О уязвимости было сообщено разработчику, и в конце июля Apple выпустила патч в обновлении VisionOS (версия 1.3), направленный на устранение этой проблемы.

Эта уязвимость подчеркивает важность обеспечения безопасности новых технологий, особенно в контексте устройств, взаимодействующих с пользовательскими данными и личной информацией.