Исследователи из Университета Флориды и Техасского технологического университета обнаружили уязвимость в очках смешанной реальности Vision Pro, позволяющую удаленно получать пароли и другой ввод с виртуальной клавиатуры. Метод, получивший название GAZEploit, основан на анализе движения глаз аватарки в ходе видеосвязи на гаджете Apple при помощи искусственного интеллекта. Информация об этом появилась на сайте Wired.
Очки Vision Pro предоставляют возможность управления взглядом и при видеозвонках создают 3D-аватар, отображаемый собеседнику. Исследователи выяснили, что этот персонаж точно воспроизводит направление глаз пользователя, фиксируемое клавиатурой, и в результате может раскрыть вводимые данные.
Атака GAZEploit проводится в два этапа. Сначала определяются расположение и размеры виртуальной клавиатуры, а также сам факт ввода текста. Для этого используются геометрические расчеты, а также анализ концентрации взгляда, снижения частоты морганий и характерного чередования фиксаций.
На втором этапе GAZEploit проводится анализ. Снятая с аватарки информация сопоставляется с раскладкой виртуальной клавиатуры, и по результатам делаются выводы. Исследователи смогли достичь точности определения «нажатых» клавиш 85,9% и полноты 96,8%.
О найденной уязвимости было доложено разработчику гаджета. В конце июля Apple выпустила патч для этой уязвимости в составе сборки VisionOS с номером 1.3.
