Vulnerabilità di Apple Vision Pro espone tastiera virtuale agli aggressori

apple-vision-pro-vulnerabilità-tastiera
Condividi:

Sono emersi dettagli su una falla di sicurezza (ora corretta) che ha un impatto sul visore per realtà virtuale e aumentata Vision Pro di Apple che, se sfruttata con successo, potrebbe consentire ad aggressori malintenzionati di dedurre i dati immessi sulla tastiera virtuale del dispositivo.

Un attacco che ha davvero dell’incredibile per le modalità, perché nasce letteralmente dagli occhi della vittima. Scopriamo di più leggendo questo articolo.
All’attacco, denominato GAZEploit, è stato assegnato l’identificativo CVE CVE-2024-40865.

L’attacco GAZEploit sfrutta la vulnerabilità insita nell’immissione di testo controllata dallo sguardo quando gli utenti condividono un avatar virtuale“, ha affermato un gruppo di accademici dell’Università della Florida, del CertiK Skyfall Team e della Texas Tech University.

Dopo che è stato reso noto il bug, Apple ha affrontato il problema nell’aggiornamento visionOS 1.3 rilasciato il 29 luglio 2024. L’azienda di Cupertino ha descritto la vulnerabilità sostenendo che impatta su un componente chiamato Presence.

Falla relativa all’avatar presente nei Vision Pro

Gli input sulla tastiera virtuale possono essere dedotti da Persona, l’avatar di Apple Vision Pro“, ha affermato in un avviso di sicurezza, aggiungendo di aver risolto il problema “sospendendo Persona quando la tastiera virtuale è attiva“.

Attacco seguendo i movimenti oculari

In poche parole, i ricercatori hanno scoperto che era possibile analizzare i movimenti oculari di un avatar virtuale (o “sguardo”) per determinare cosa l’utente che indossava il visore stava digitando sulla tastiera virtuale, compromettendo di fatto la sua privacy.

Di conseguenza, un autore di minacce potrebbe, ipoteticamente, analizzare gli avatar virtuali condivisi tramite videochiamate, app di riunioni online o piattaforme di streaming live ed eseguire da remoto l’attacco ipotizzando la pressione dei tasti.

Ciò potrebbe quindi essere sfruttato per estrarre informazioni sensibili come le password.

Come nasce un attacco simile?

L’attacco, a sua volta, viene eseguito tramite un modello di apprendimento supervisionato addestrato su registrazioni di Persona, rapporto di aspetto dell’occhio (EAR) e stima dello sguardo per distinguere tra sessioni di digitazione e altre attività correlate alla realtà virtuale (ad esempio, guardare film o giocare).

Nella fase successiva, le direzioni di stima dello sguardo sulla tastiera virtuale vengono mappate su tasti specifici per determinare le potenziali pressioni di tasti in modo tale da tenere conto anche della posizione della tastiera nello spazio virtuale.

Catturando e analizzando da remoto il video dell’avatar virtuale, un aggressore può ricostruire i tasti premuti“, hanno affermato i ricercatori. “In particolare, l’attacco GAZEploit è il primo attacco noto in questo dominio che sfrutta le informazioni trapelate sullo sguardo per eseguire da remoto l’inferenza delle pressioni di tasti“.

Ti è piaciuto l’articolo? Contatta Noi Sicurezza per una consulenza di cyber security:

    Il tuo nome*

    La tua email*

    Il tuo telefono*

    La tua città

    Il tuo messaggio

    * campo obbligatorio

    Condividi:

    Lascia un commento

    Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

    Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.