Un team di sei esperti ha descritto un nuovo tipo di attacco che sfrutta una funzionalità del Vision Pro. Tracciando i movimenti degli occhi effettuati dall’avatar Persona dell’utente è possibile individuare i tasti premuti sulla tastiera virtuale del visore e quindi registrare password, PIN e messaggi. Apple ha risolto il problema di sicurezza in visionOS 1.3.
GAZEploit: furto di password dall’avatar
Sfruttando le fotocamere esterne del Vision Pro è possibile generare una versione digitale 3D del viso, denominata Persona. L’avatar può essere utilizzato durante le videochiamate o nelle app di streaming. Usando invece i sensori interni è possibile indicare con gli occhi i tasti da premere sulla tastiera virtuale. I ricercatori hanno scoperto che si può risalire ai tasti premuti analizzando lo sguardo dell’avatar (da cui il nome GAZEploit).
Un malintenzionato potrebbe registrare i movimenti degli occhi durante una videochiamata. In particolare, dall’avatar digitale è possibile estrarre due informazioni biometriche, ovvero il rapporto d’aspetto degli occhi e la stima dello sguardo. A tale scopo è stata usata una rete neurale ricorrente addestrata con le registrazioni degli avatar di 30 persone.
Quando un utente preme virtualmente un tasto, il suo sguardo è fisso e la frequenza di chiusura degli occhi diminuisce. Attraverso alcuni calcoli geometrici è possibile invece determinare la posizione della tastiera virtuale. Combinando i due elementi, i ricercatori hanno rilevato i tasti premuti.
Dopo cinque tentativi si ottiene una percentuale di successo del 92,1% per i messaggi, 77% per le password, 86,1% per URL/email e 73% per i PIN. Questo tipo di attacco è solo teorico (nessun exploit in circolazione). Apple ha risolto il problema in visionOS 1.3, disattivando Persona quando viene usata la tastiera virtuale.