安全研究人员提出了一个相当疯狂的 Vision Pro 漏洞利用方法。它被称为 GAZEploit,是一种通过观察 Vision Pro 用户在视频通话期间化身的眼球运动来计算出其密码的方法。
他们制作了一个 YouTube 视频(如下),以演示如何跟踪化身的眼球运动来准确检测 Vision Pro 用户在打字时正在看的虚拟键……
当作为独立设备在 Vision Pro 上打字时,该设备会显示一个大型虚拟键盘,并使用眼动追踪来检测用户在虚拟打字时正在看哪个键。
问题是,如果您正在进行视频通话,您的化身的眼睛将准确地反映您自己眼睛的方向 – 并且攻击者可以监视化身的眼睛运动,以计算出您在打字时正在看的按键。
神经网络甚至可以在你打字时进行计算。
凝视估计揭示了一个值得注意的模式:
- 在打字过程中,眼睛注视的方向往往更加集中并表现出周期性模式。
- 打字过程中眨眼的频率减少
循环神经网络(RNN)适用于需要识别顺序数据模式的任务。
该团队分析了 30 位 Vision Pro 用户的眼球运动,并获得了非常高的准确率。
在凝视打字过程中,用户的目光在按键之间移动并固定在要单击的按键上,从而导致扫视,然后再注视。扫视是指用户将目光快速从一个物体移至另一个物体的时期。注视时间是指用户注视某个物体的时间。
我们开发了一种算法,可以计算注视轨迹的稳定性,并设置阈值来对眼跳和注视进行分类。我们使用这些高稳定性区域中的注视估计点作为点击候选点。对我们数据集的评估显示,在识别打字会话中的击键方面,准确率和召回率分别为 85.9% 和 96.8%。
除了检测密码之外,GAZEploit 还能够监视 Vision Pro 用户在视频通话期间输入的消息和网站地址。
请观看下面的演示视频,了解更多详细信息。
我们的观点
这是一个富有想象力的探索!
出现此问题的原因是相同的眼动追踪数据用于键盘功能和生成头像图像。苹果可能会通过为头像眼球运动添加相对较小且随机的位移来解决这个问题。
。
免责声明
部分内容(图片、文章)翻译/转载自国内外资讯/自媒体平台。文中内容不代表本站立场,如有侵权或其它,请联系 macmao.com@gmail.com,我们会第一时间配合删除。(转载请注明来源自:www.macmao.com)