苹果 Vision Pro 曝出严重漏洞,黑客可通过用户眼动输入窃取信息
💡
原文中文,约900字,阅读约需3分钟。
📝
内容提要
苹果公司的Vision Pro混合现实头戴式设备存在安全漏洞,黑客可以通过分析虚拟化身的眼球运动来推断用户在虚拟键盘上输入的内容。该漏洞已被修复。黑客可以利用这一漏洞获取用户的敏感信息。这是首个利用注视信息远程执行按键推断的攻击方式。
🎯
关键要点
- 苹果公司的Vision Pro混合现实头戴式设备存在安全漏洞,黑客可以推断用户在虚拟键盘上输入的内容。
- 该漏洞名为GAZEploit,追踪编号为CVE-2024-40865。
- 攻击者可以通过头像图片推断眼睛的生物特征,重建用户的文本输入。
- 苹果公司在2024年7月29日发布的visionOS 1.3中修复了该漏洞。
- 漏洞影响了名为'Presence'的组件,主要通过暂停Persona来解决虚拟键盘输入的推断问题。
- 黑客可以通过分析虚拟化身的眼球运动来获取用户的敏感信息,如密码。
- 攻击利用监督学习模型区分打字会话与其他VR活动,并映射注视方向到特定按键。
- GAZEploit是首个利用泄露的注视信息远程执行按键推断的攻击方式。
❓
延伸问答
GAZEploit攻击是如何工作的?
GAZEploit攻击通过分析用户虚拟化身的眼球运动,推断用户在虚拟键盘上输入的内容,利用监督学习模型区分打字会话与其他活动。
苹果公司是何时修复Vision Pro的安全漏洞的?
苹果公司在2024年7月29日发布的visionOS 1.3中修复了该漏洞。
GAZEploit漏洞的追踪编号是什么?
GAZEploit漏洞的追踪编号是CVE-2024-40865。
该漏洞对用户隐私有什么影响?
该漏洞可能导致用户的敏感信息泄露,如密码,因为黑客可以推断用户在虚拟键盘上的输入。
GAZEploit攻击利用了哪些技术?
GAZEploit攻击利用了监督学习模型和用户的眼球长宽比(EAR)来分析注视方向并推断按键输入。
苹果是如何解决虚拟键盘输入推断问题的?
苹果通过在虚拟键盘激活时暂停Persona来解决虚拟键盘输入的推断问题。
➡️
