“
Apple Corrige Falha de Segurança ‘GAZEploit’ no Vision Pro
A Apple corrigiu uma falha de segurança no Vision Pro que permitia que hackers roubassem senhas apenas observando os movimentos oculares do usuário.
A falha de segurança, descoberta por um grupo de seis cientistas da computação do Departamento de Ciência da Computação da Universidade da Flórida, foi inicialmente relatada pela Wired.
O ataque GAZEploit, como foi apelidado pelos pesquisadores, funciona rastreando os movimentos oculares do Persona de um usuário para identificar quando eles estão digitando algo no teclado virtual do Vision Pro. Os pesquisadores descobriram que os usuários tendem a direcionar seu olhar para as teclas específicas que estão prestes a clicar e conseguiram construir um algoritmo que identificava o que os usuários estavam digitando. Os resultados foram bastante precisos; por exemplo, os pesquisadores conseguiram identificar as letras corretas das senhas dos usuários 77% das vezes. Quando se tratava de detectar o que as pessoas estavam digitando em uma mensagem, os resultados foram precisos 92% das vezes.
Os pesquisadores divulgaram a vulnerabilidade para a Apple em abril, e a Apple a corrigiu no visionOS 1.3, que foi lançado em julho. Nas notas de lançamento, a Apple afirma que a falha permitia que as entradas para o teclado virtual fossem inferidas do Persona.
\”O problema foi resolvido suspendendo o Persona quando o teclado virtual está ativo\”, escreveu a Apple nas notas de lançamento. Os usuários do Vision Pro que ainda não atualizaram para a versão mais recente são aconselhados a fazê-lo o mais rápido possível.
Embora simplesmente desabilitar o Persona enquanto o usuário está digitando seja uma solução bastante simples, a falha levanta a questão de quantas informações um hacker malicioso poderia inferir apenas observando uma versão virtual de você.
Os pesquisadores disseram que o ataque não foi usado contra alguém usando Personas no mundo real. Mas o que torna este ataque particularmente perigoso é que ele só exige uma gravação de vídeo do Persona de alguém enquanto a pessoa estava digitando, o que significa que um atacante ainda poderia usá-lo em um vídeo mais antigo. Parece que a única maneira de mitigar esse problema é apagar qualquer vídeo disponível publicamente onde seu Persona seja visível enquanto digita; entramos em contato com a Apple para esclarecer o que pode ser feito para proteger seus dados.
“