蘋果修復(fù)Vision Pro安全漏洞 避免用戶輸入信息泄露

一組由六名計(jì)算機(jī)科學(xué)家組成的團(tuán)隊(duì)今年發(fā)現(xiàn)了Apple Vision Pro的一個(gè)安全漏洞,該漏洞使他們能夠重建用戶在設(shè)備上的輸入內(nèi)容,包括密碼、PIN碼和消息。

據(jù)外媒最新報(bào)道,一組由六名計(jì)算機(jī)科學(xué)家組成的團(tuán)隊(duì)今年發(fā)現(xiàn)了Apple Vision Pro的一個(gè)安全漏洞,該漏洞使他們能夠重建用戶在設(shè)備上的輸入內(nèi)容,包括密碼、PIN碼和消息。

蘋果修復(fù)Vision Pro安全漏洞 避免用戶輸入信息泄露

這一發(fā)現(xiàn)聚焦于Vision Pro的virtualOS虛擬鍵盤功能。當(dāng)Vision Pro用戶在使用虛擬Persona(個(gè)性化形象)進(jìn)行FaceTime通話等操作時(shí),研究人員通過分析Persona的眼球運(yùn)動(dòng)或“注視”方向,成功推測(cè)出用戶在頭戴設(shè)備虛擬鍵盤上的輸入內(nèi)容。他們?yōu)榇寺┒磩?chuàng)建了一個(gè)網(wǎng)站,詳細(xì)闡述了所謂的“GAZEploit”攻擊原理。

簡(jiǎn)而言之,研究人員指出,用戶在輸入時(shí)眼睛通常會(huì)聚焦在即將按下的鍵上,這種注視模式會(huì)揭示出一些常見的輸入模式。因此,他們聲稱能夠以高達(dá)92%的準(zhǔn)確率在五次猜測(cè)內(nèi)確定用戶輸入的消息內(nèi)容,而密碼的準(zhǔn)確率也達(dá)到了77%。

據(jù)報(bào)道,研究團(tuán)隊(duì)在4月向蘋果披露了這一漏洞,而蘋果已在7月發(fā)布的visionOS 1.3更新中解決了該問題。新版本通過在虛擬鍵盤激活時(shí)暫停Persona功能來防止此類攻擊。

蘋果在9月份發(fā)布的visionOS 1.3安全更新說明中增加了以下內(nèi)容:

修復(fù)內(nèi)容:

存在性:影響Apple Vision Pro

影響:虛擬鍵盤的輸入可能被Persona推測(cè)

描述:通過在虛擬鍵盤激活時(shí)暫停Persona功能來解決此問題

盡管這一概念驗(yàn)證攻擊尚未在現(xiàn)實(shí)中被利用,但Vision Pro用戶仍應(yīng)立即更新至visionOS 1.3或更高版本,以確保自己的信息安全。

原創(chuàng)文章,作者:科技探索者,如若轉(zhuǎn)載,請(qǐng)注明出處:http://rponds.cn/article/680651.html

科技探索者的頭像科技探索者管理團(tuán)隊(duì)

相關(guān)推薦

發(fā)表回復(fù)

登錄后才能評(píng)論