最近,苹果的 Vision Pro 混合现实设备曝出了一项安全漏洞,黑客可能利用该漏洞推测出用户在虚拟键盘上的输入内容。
这一攻击手段被称为GAZEploit,对应的漏洞编号为CVE-2024-40865。
佛罗里达大学的研究人员表示,这种攻击方式新颖,黑客通过虚拟头像中的眼动信息,能够重构出用户通过凝视控制输入的文本内容。GAZEploit利用了用户在分享虚拟化身时暴露的注视控制漏洞。
漏洞披露后,苹果于2024年7月29日发布的visionOS 1.3修补了该问题。据苹果称,此漏洞影响了名为“Presence”的组件。苹果公告中指出,虚拟键盘的输入可能会被从Persona中推断,为此,系统在激活虚拟键盘时暂停Persona功能以防止攻击。
研究人员进一步解释,黑客通过分析虚拟化身的眼球运动,即“凝视”,能够得知用户在虚拟键盘上的输入,极大地威胁用户隐私。
如果攻击者通过视频会议、在线会议或直播平台捕捉到用户的虚拟化身,并使用按键推断技术,就可能获取诸如密码等敏感信息。
这种攻击依赖于监督学习模型,对Persona记录、眼球长宽比(EAR)和眼球注视方向进行训练,能够区分打字与其他VR活动(如观看电影或游戏)。通过注视方向映射到虚拟键盘上的按键,黑客可以推测用户的输入。
研究人员表示,目前GAZEploit是首个已知的通过注视信息远程推断用户按键输入的攻击手段。
🚨 你是否知道你的个人信息正在被暗中窥视? 现在就加入我们的网络安全直播,揭秘最前沿的安全威胁与防护技术!
💡 为什么要关注我们的直播?
-
最新动态:了解最新的网络攻击趋势和数据泄露事件。
-
实战技巧:学习如何识别和防御常见的网络安全威胁。
-
专家解答:实时互动,解决你的网络安全疑惑。
-
实用工具:推荐最有效的安全工具和资源,保护你的数字生活。
我们红岸基地网安教学,只有两个老师、一个是赵小龙老师、一个是陈师傅。可以联系微信:Changethe_one,只要你提供目前的现状与学历,陈老师可以免费帮大家做职业规划。
Changethe_one
原文始发于微信公众号(暗影网安实验室):苹果 Vision Pro 曝严重漏洞:黑客可通过眼动追踪窃取信息!
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论