Дослідники з Університету Флориди та Техаського технологічного університету виявили нову вразливість у системі Apple Vision Pro, яка отримала назву GAZEploit. Ця атака використовує технологію відстеження погляду користувача для перехоплення введеної інформації на віртуальній клавіатурі, що створює серйозну загрозу конфіденційності та безпеці даних.
Механізм атаки GAZEploit
GAZEploit працює шляхом аналізу руху очей віртуального аватара користувача під час відеодзвінків або онлайн-зустрічей. Зловмисники можуть використовувати цю інформацію для відтворення тексту, який вводиться за допомогою погляду на віртуальній клавіатурі Apple Vision Pro. Це перша відома атака, яка використовує дані про напрямок погляду для віддаленого перехоплення введення.
Технічні деталі реалізації
Дослідники розробили модель машинного навчання, навчену на даних 30 учасників. Модель аналізує три ключові параметри:
- Persona (віртуальний аватар користувача)
- EAR (Eye Aspect Ratio – співвідношення розмірів очей)
- Напрямок погляду
Ця модель дозволяє відрізняти сеанси введення тексту від інших видів активності у віртуальній реальності. Потім система співставляє напрямок погляду з розташуванням клавіш на віртуальній клавіатурі, визначаючи, які саме символи вводить користувач.
Наслідки для кібербезпеки
GAZEploit демонструє нові вектори атак на системи віртуальної та доповненої реальності. Ця вразливість підкреслює необхідність посилення захисту біометричних даних та вдосконалення механізмів безпеки в VR/AR пристроях. Особливу увагу слід приділити захисту конфіденційної інформації, яка вводиться у віртуальному середовищі.
Реакція Apple та виправлення вразливості
Виявлена вразливість отримала ідентифікатор CVE-2024-40865. Apple оперативно відреагувала на загрозу, випустивши оновлення visionOS версії 1.3 у липні 2024 року. Основним захисним механізмом стала автоматична пауза роботи Persona (віртуального аватара) при активації віртуальної клавіатури. Це ефективно запобігає можливості аналізу руху очей під час введення тексту.
Виявлення та усунення вразливості GAZEploit демонструє важливість постійного моніторингу та вдосконалення систем кібербезпеки у сфері віртуальної реальності. Користувачам рекомендується своєчасно встановлювати оновлення безпеки та бути обережними при введенні конфіденційної інформації у віртуальному середовищі. Виробникам VR/AR пристроїв слід приділяти підвищену увагу захисту біометричних даних та розробці нових механізмів безпеки, враховуючи унікальні особливості взаємодії користувачів з віртуальним простором.