苹果 Vision Pro 曝出严重漏洞,黑客可通过用户眼动输入窃取信息
💡
原文中文,约900字,阅读约需3分钟。
📝
内容提要
苹果公司的Vision Pro混合现实头戴式设备存在安全漏洞,黑客可以通过分析虚拟化身的眼球运动来推断用户在虚拟键盘上输入的内容。该漏洞已被修复。黑客可以利用这一漏洞获取用户的敏感信息。这是首个利用注视信息远程执行按键推断的攻击方式。
🎯
关键要点
- 苹果公司的Vision Pro混合现实头戴式设备存在安全漏洞,黑客可以推断用户在虚拟键盘上输入的内容。
- 该漏洞名为GAZEploit,追踪编号为CVE-2024-40865。
- 攻击者可以通过头像图片推断眼睛的生物特征,重建用户的文本输入。
- 苹果公司在2024年7月29日发布的visionOS 1.3中修复了该漏洞。
- 漏洞影响了名为'Presence'的组件,主要通过暂停Persona来解决虚拟键盘输入的推断问题。
- 黑客可以通过分析虚拟化身的眼球运动来获取用户的敏感信息,如密码。
- 攻击利用监督学习模型区分打字会话与其他VR活动,并映射注视方向到特定按键。
- GAZEploit是首个利用泄露的注视信息远程执行按键推断的攻击方式。
➡️
