Los investigadores expusieron lo que escribían los usuarios cuando confiaban en la tecnología de seguimiento ocular utilizada en Apple Vision Pro. Un grupo de investigadores logró descifrar lo que las personas ingresaban en el teclado virtual del dispositivo mientras usaban avatares virtuales.
Dos funciones de Apple Vision Pro expusieron lo que escribieron los usuarios
Manzana lanzó el Visión Pro a principios de este año. Es un revolucionario”computadora espacial”que permite a los usuarios realizar casi todas las tareas sin controladores portátiles externos.
Una de las características que tiene Apple Vision Pro es el “seguimiento ocular”. Como su nombre lo indica, rastrea los movimientos oculares para juzgar las intenciones y acciones de los usuarios. Entre otras capacidades, la función de seguimiento ocular permite a los usuarios escribir en un teclado virtual.
Los usuarios de Apple Vision Pro dependen de los avatares cuando realizan llamadas de Zoom, Teams, Slack, Reddit, Tinder, Twitter, Skype y FaceTime. Según se informa, un grupo de investigadores logró recopilar información sobre lo que los usuarios estaban escribiendo usando el teclado virtual de Apple Vision Pro usando estas dos funciones para exponer información confidencial.
Compartido con cableadoel GAZEploit explota los datos de seguimiento ocular para adivinar las contraseñas, PIN y otros textos que las personas escriben, con un grado preocupante de precisión. En concreto, el exploit observa lo que hacen estos avatares virtuales y hacia dónde miran. Utiliza estos datos para adivinar datos confidenciales.
¿El seguimiento ocular de Apple Vision Pro no expone la entrada de texto?
Es importante tener en cuenta que el hardware y el software de Apple Vision Pro no se ven comprometidos. En otras palabras, los investigadores no obtuvieron acceso a los auriculares de Apple. Por lo tanto, no podían ver lo que estaban viendo los usuarios.
Según Hanqiu Wang, uno de los principales investigadores involucrados en el trabajo, GAZEPloit intenta adivinar los caracteres que los avatares de los usuarios escriben en los auriculares VR.
“Según la dirección del movimiento ocular, el hacker puede determinar qué tecla está escribiendo la víctima en ese momento. [GAZEPloit] «Identificó las letras correctas que las personas escribieron en las contraseñas el 77 por ciento de las veces en cinco intentos y el 92 por ciento de las veces en los mensajes».
Los investigadores han confirmado que alertaron a Apple sobre la vulnerabilidad en abril. El fabricante del iPhone etiquetó la vulnerabilidad como CVE-2024-40865 y emitió un parche a finales de julio. Básicamente, Apple Vision Pro ahora deja de compartir un avatar si un usuario está escribiendo en el teclado virtual.
Los investigadores entrenaron una red neuronal recurrente (Machine Learning) utilizando grabaciones de solo 30 avatares de personas. Los usuarios no deben preocuparse por GAZEPloit, ya que involucra investigadores de seguridad. Sin embargo, este exploit expone cuán predecibles son los movimientos oculares, especialmente cuando los usuarios se concentran en ingresar información confidencial.
Fuente: Android Headlines