Группа исследователей обнаружила уязвимость в гарнитуре смешанной реальности Vision Pro от Apple, которая позволяет восстанавливать пароли, PIN-коды и сообщения пользователей.
Исследователи назвали эту уязвимость «GAZEploit». С её помощью они использовали данные отслеживания движения глаз, чтобы расшифровать, что пользователи вводили взглядом на виртуальной клавиатуре.
Поскольку аватары пользователей видны другим, исследователям не нужно было напрямую взламывать гарнитуру или получать доступ к устройству. Они просто наблюдали за движениями глаз аватара, который мог использовать виртуальную клавиатуру для входа в такие приложения, как Slack, Teams и Twitter.
Исправления системы
Согласно исследованию, исследователи смогли с высокой точностью предсказать расположение клавиш на виртуальной клавиатуре. Они определяли правильные символы в сообщениях с 90% точностью в течение пяти попыток, в 77% случаев это позволяло восстановить пароли, и в 73% случаев — PIN-коды.
Уязвимость была обнаружена в апреле, а уже в июле Apple выпустила патч для исправления этой проблемы. Теперь аватар пользователя больше не отображается при использовании виртуальной клавиатуры. Это первое такого рода исследование, которое показало, как биометрические данные могут быть использованы для слежки за пользователями.
Исследователи подтвердили: «Эти технологии… могут непреднамеренно раскрывать важную биометрическую информацию, включая данные движения глаз, через видеозвонки, когда виртуальный аватар пользователя повторяет их движения глаз.»
Индустрия носимых технологий вызвала новые угрозы для конфиденциальности пользователей, так как в повседневной жизни собирается и сохраняется все больше информации. Здоровье, местоположение, биометрические данные — все это может быть использовано против пользователей, если попадет в неправильные руки.
Источник: TechRadar
