Как сообщает WIRED сегодня, группа из шести специалистов по компьютерным наукам обнаружила в этом году уязвимость безопасности Apple Vision Pro, которая позволила им восстанавливать набираемый текст, включая пароли, PIN-коды и сообщения.

Когда пользователь Vision Pro использовал виртуальный аватар Persona, например, во время вызова FaceTime, исследователи могли анализировать движение глаз или «взгляд» Persona, чтобы определить, что пользователь набирал на виртуальной клавиатуре гарнитуры. Исследователи создали веб-сайт с техническими подробностями о так называемой уязвимости «GAZEploit».

Короче говоря, исследователи заявили, что взгляд человека обычно фокусируется на клавише, которую он собирается нажать следующей, и это может выявить некоторые распространенные шаблоны. В результате исследователи заявили, что им удалось идентифицировать правильные буквы, которые люди набирали в сообщениях, в 92% случаев в течение пяти попыток и в 77% случаев для паролей.

Согласно отчету, исследователи сообщили об уязвимости Apple в апреле, а компания устранила проблему в visionOS 1.3 в июле. Обновление приостанавливает работу Personas, когда активна виртуальная клавиатура Vision Pro.

Apple добавила следующую запись в свои заметки о безопасности visionOS 1.3 5 сентября:

Persona

Доступно для: Apple Vision Pro

Воздействие: Ввод данных на виртуальной клавиатуре может быть определен на основе Persona

Описание: Проблема была устранена путем приостановки работы Persona при активной виртуальной клавиатуре.

CVE-2024-40865: Hanqiu Wang из Университета Флориды, Zihao Zhan из Техасского технологического университета, Haoqi Shan из Certik, Siqi Dai из Университета Флориды, Max Panoff из Университета Флориды и Shuo Wang из Университета Флориды

Согласно отчету, проверка концепции атаки не была использована в реальных условиях. Тем не менее, пользователям Vision Pro следует немедленно обновить гарнитуру до visionOS 1.3 или более поздней версии, чтобы обеспечить защиту, теперь когда результаты были опубликованы.