Grupa istraživača je identificirala sigurnosni propust u Apple-ovim Vision Pro slušalicama za miješanu stvarnost. Ova mana omogućava hakerima da rekonstruišu korisničke lozinke, PIN-ove i poruke koristeći pokrete očiju. Ranjivost, nazvana ‘GAZEploit’, oslanja se na podatke praćenja oka za dekodiranje onoga što korisnici pišu pomoću virtualne tastature.
Istraživači su otkrili da, budući da su avatari kreirani pomoću slušalica vidljivi drugim korisnicima, moguće je promatrati i analizirati pokrete očiju ovih avatara kako bi se predvidjeli likovi koji se kucaju. Ova metoda ne zahtijeva od hakera da dobiju direktan pristup slušalicama korisnika. Istraživači su bili u stanju da predvide položaj tastature sa impresivnom preciznošću.
Zaključili su tačna slova ukucana u roku od najviše pet pogađanja sa preko 90% tačnosti u porukama, 77% vremena za lozinke i 73% vremena za PIN-ove. Apple je otklonio ranjivost zakrpom izdatom u julu. Zakrpa zaustavlja prikazivanje avatara dok je virtuelna tastatura u upotrebi.
Ovo ima za cilj spriječiti takvu eksploataciju biometrijskih podataka. Istraživači su istakli šire implikacije ove ranjivosti. Napomenuli su da bi biometrijski podaci prikupljeni pomoću nosive tehnologije mogli nenamjerno otkriti osjetljive informacije.
S obzirom na sve veću količinu biometrijskih informacija koje se snimaju, potencijalni rizik da takvi podaci dođu u pogrešne ruke je sve veća zabrinutost. Nosiva tehnologija dovela je do novih izazova privatnosti.
Izložena ranjivost Apple Vision Pro
Snima i pohranjuje detaljne zdravstvene podatke, lokacije i druge lične podatke koji bi se mogli zloupotrijebiti ako nisu pravilno osigurani. Ovaj incident naglašava važnost proučavanja načina na koji se biometrijski podaci rukuju i kako ih čuvaju dok se upotreba nosive tehnologije i dalje širi. GAZEploit napad se sastoji od dva dijela.
Prvo, istraživači su kreirali način da identifikuju kada neko ko nosi Vision Pro kuca analizirajući 3D avatar koji dijele. Za to su obučili rekurentnu neuronsku mrežu, vrstu modela, sa snimcima avatara 30 ljudi dok su izvršavali različite zadatke kucanja. Drugo, istraživanje koristi geometrijske proračune kako bi se utvrdila pozicija i veličina virtuelne tastature.
„Jedini uslov je da sve dok dobijemo dovoljno informacija o pogledu koji mogu precizno oporaviti tastaturu, tada se mogu detektovati svi sledeći pritisci na tastere“, objašnjava istraživač Zihao Zhan. U svojim laboratorijskim testovima, istraživači nisu imali nikakva saznanja o žrtvinim navikama kucanja, brzini ili mjestu postavljanja tastature. Bez obzira na to, mogli su predvidjeti ispravna slova otkucana sa 92,1 posto tačnosti u porukama, 77% za lozinke, 73% za PIN-ove i 86,1% za e-poštu, URL-ove i web stranice.
Iako je napad napravljen u laboratorijskim postavkama i nije korišten ni protiv koga u stvarnom svijetu, istraživači kažu da postoje načini na koji bi hakeri teoretski mogli zloupotrijebiti curenje podataka. Na primjer, kriminalac bi mogao podijeliti fajl sa žrtvom tokom Zoom poziva, što rezultira time da se ona prijavi na Google ili Microsoft nalog. Napadač bi tada mogao snimiti Personu dok se njihova meta prijavljuje i koristiti metodu napada da povrati svoju lozinku i pristupi svom računu.
Istraživanje naglašava kako lični podaci ljudi mogu nenamjerno procuriti ili razotkriti. Ove brige o privatnosti i nadzoru će vjerovatno postati hitnije kako nosiva tehnologija bude manja, jeftinija i sposobna da prikupi više informacija o ljudima.