计算机科学家小组披露苹果Vision Pro的安全漏洞 可重建用户输入内容

摘要:

一组计算机科学家组成的团队今年发现了Apple Vision Pro的一个安全漏洞,该漏洞使他们能够重建用户在设备上的输入内容,包括密码、PIN码和消息。

GAZEploit.webp

具体而言,当Vision Pro用户启用其独特的虚拟Persona(个性化形象)功能进行FaceTime通话或其他操作时,研究团队通过精密分析Persona的眼球运动轨迹,即“注视”行为,巧妙地解锁了用户在头戴设备内置虚拟键盘上的输入秘密。

用户输入时自然的视线聚焦习惯,成为了泄露输入信息的“软肋”,这一发现揭示了人类交互习惯在高科技产品中的潜在风险。

研究团队进一步指出,用户在输入时眼睛会不自觉地聚焦于即将点击的键位,这种无意识的注视模式为破解输入内容提供了可预测的模式。

overview.PNGmapping.PNGmedia.jpg

据此,他们声称能够在短短五次尝试内,以惊人的92%准确率还原用户输入的消息内容,而对于密码这类高敏感信息,准确率也达到了77%,这一成果无疑对Vision Pro的安全性能提出了严峻挑战。

值得庆幸的是,该团队在发现漏洞后迅速行动,于今年4月向苹果公司进行了通报。苹果公司在高度重视之下,于7月发布的visionOS 1.3版本中,针对性地解决了这一安全问题。新版本中,苹果采取了有效的防御措施,即在虚拟键盘激活时暂时禁用Persona功能,从根本上切断了通过眼球运动追踪窃取输入信息的可能。

为进一步强化用户信心,苹果在9月发布的visionOS 1.3安全更新说明中,明确添加了关于此安全改进的描述,强调了其对于提升用户隐私保护的重要性。

尽管目前尚未有公开报道显示这一概念验证攻击在现实中被实际利用,但Vision Pro用户仍被强烈建议立即升级至visionOS 1.3或更高版本,以确保个人信息安全无虞,

查看评论
created by ceallan