據(jù)外媒最新報(bào)道,一組由六名計(jì)算機(jī)科學(xué)家組成的團(tuán)隊(duì)今年發(fā)現(xiàn)了Apple Vision Pro的一個(gè)安全漏洞,該漏洞使他們能夠重建用戶在設(shè)備上的輸入內(nèi)容,包括密碼、PIN碼和消息。
這一發(fā)現(xiàn)聚焦于Vision Pro的virtualOS虛擬鍵盤功能。當(dāng)Vision Pro用戶在使用虛擬Persona(個(gè)性化形象)進(jìn)行FaceTime通話等操作時(shí),研究人員通過分析Persona的眼球運(yùn)動(dòng)或“注視”方向,成功推測(cè)出用戶在頭戴設(shè)備虛擬鍵盤上的輸入內(nèi)容。他們?yōu)榇寺┒磩?chuàng)建了一個(gè)網(wǎng)站,詳細(xì)闡述了所謂的“GAZEploit”攻擊原理。
簡(jiǎn)而言之,研究人員指出,用戶在輸入時(shí)眼睛通常會(huì)聚焦在即將按下的鍵上,這種注視模式會(huì)揭示出一些常見的輸入模式。因此,他們聲稱能夠以高達(dá)92%的準(zhǔn)確率在五次猜測(cè)內(nèi)確定用戶輸入的消息內(nèi)容,而密碼的準(zhǔn)確率也達(dá)到了77%。
據(jù)報(bào)道,研究團(tuán)隊(duì)在4月向蘋果披露了這一漏洞,而蘋果已在7月發(fā)布的visionOS 1.3更新中解決了該問題。新版本通過在虛擬鍵盤激活時(shí)暫停Persona功能來防止此類攻擊。
蘋果在9月份發(fā)布的visionOS 1.3安全更新說明中增加了以下內(nèi)容:
修復(fù)內(nèi)容:
存在性:影響Apple Vision Pro
影響:虛擬鍵盤的輸入可能被Persona推測(cè)
描述:通過在虛擬鍵盤激活時(shí)暫停Persona功能來解決此問題
盡管這一概念驗(yàn)證攻擊尚未在現(xiàn)實(shí)中被利用,但Vision Pro用戶仍應(yīng)立即更新至visionOS 1.3或更高版本,以確保自己的信息安全。
原創(chuàng)文章,作者:科技探索者,如若轉(zhuǎn)載,請(qǐng)注明出處:http://rponds.cn/article/680651.html