Sono emersi dettagli su una falla di sicurezza, ora risolta, che colpisce il visore per realtà virtuale Vision Pro di Apple e che, se sfruttata con successo, potrebbe consentire ad aggressori malintenzionati di dedurre i dati immessi sulla tastiera virtuale del dispositivo.
All’attacco, denominato GAZEploit , è stato assegnato l’identificatore CVE-2024-40865.
Un nuovo attacco in grado di dedurre dati biometrici relativi alla vista dall’immagine dell’avatar per ricostruire il testo immesso tramite digitazione controllata dallo sguardo
ha affermato un gruppo di studiosi dell’Università della Florida, del CertiK Skyfall Team e della Texas Tech University.
L’attacco GAZEploit sfrutta la vulnerabilità insita nell’immissione di testo controllata tramite sguardo quando gli utenti condividono un avatar virtuale.
In seguito a una divulgazione responsabile, Apple ha affrontato il problema in visionOS 1.3 rilasciato il 29 luglio 2024. Ha descritto la vulnerabilità come avente un impatto su un componente denominato Presence.
Gli input sulla tastiera virtuale potrebbero essere dedotti da Persona
ha affermato in un avviso di sicurezza, aggiungendo di aver risolto il problema sospendendo Persona quando la tastiera virtuale è attiva.
In sintesi, i ricercatori hanno scoperto che era possibile analizzare i movimenti oculari (o “sguardo”) di un avatar virtuale per determinare cosa l’utente che indossava il visore stava digitando sulla tastiera virtuale, compromettendone di fatto la privacy.
Di conseguenza, un threat actor potrebbe, ipoteticamente, analizzare avatar virtuali condivisi tramite videochiamate, app per meeting online o piattaforme di streaming live ed eseguire da remoto l’inferenza dei tasti premuti. Ciò potrebbe quindi essere sfruttato per estrarre informazioni sensibili come le password.
L’attacco, a sua volta, viene realizzato mediante un modello di apprendimento supervisionato addestrato su registrazioni di Persona, rapporto di aspetto oculare (EAR) e stima dello sguardo per distinguere tra sessioni di digitazione e altre attività correlate alla realtà virtuale (ad esempio, guardare film o giocare).
Nella fase successiva, le direzioni di stima dello sguardo sulla tastiera virtuale vengono mappate su tasti specifici per determinare le potenziali pressioni dei tasti in modo tale da tenere conto anche della posizione della tastiera nello spazio virtuale.
Catturando e analizzando da remoto il video dell’avatar virtuale, un aggressore può ricostruire i tasti digitati
hanno affermato i ricercatori. In particolare, l’attacco GAZEploit è il primo attacco noto in questo dominio che sfrutta le informazioni trapelate sullo sguardo per eseguire da remoto l’inferenza della pressione dei tasti.
Seguici anche su:
@INSTAGRAM https://www.instagram.com/hackerpunk2019/
@LINKEDIN https://www.linkedin.com/mwlite/in/fernandoc-364ab419a
@FACEBOOK https://www.facebook.com/hackerpunk19202
@EBOOK https://amzn.eu/d/6dcujGr
@EBOOK (English version) https://amzn.eu/d/0yu1ldv
@YOUTUBE https://www.youtube.com/channel/UCiAAq1h_ehRaw3gi09zlRoQ