据《连线》今天报道,由六名计算机科学家组成的小组今年发现了 Apple Vision Pro 的一个安全漏洞,该漏洞使他们能够重建人们输入的内容,包括密码、PIN 码和消息。
当 Vision Pro 用户使用虚拟 Persona 头像时,例如在 FaceTime 通话期间,研究人员能够分析 Persona 的眼球运动或“注视”,以确定用户在耳机虚拟键盘上输入的内容。研究人员创建了一个网站,其中包含有关所谓“GAZEploit”漏洞的技术详细信息。
简而言之,研究人员表示,一个人的目光通常会集中在他们接下来可能按下的按键上,这可以揭示一些常见的模式。结果,研究人员表示,他们能够在五次猜测中识别出人们在消息中输入的正确字母,正确率为 92%,密码识别率为 77%。
报告称,研究人员于 4 月份向苹果公司披露了该漏洞,该公司于 7 月份在visionOS 1.3 中解决了该问题。当 Vision Pro 的虚拟键盘处于活动状态时,更新会暂停角色。
苹果于 9 月 5 日在其 VisionOS 1.3 安全说明中添加了以下条目:
在场
适用于:Apple Vision Pro
影响:虚拟键盘的输入可以从 Persona 推断出来
描述:此问题已通过在虚拟键盘处于活动状态时暂停 Persona 得到解决。
CVE-2024-40865:佛罗里达大学的 Hanqiu Wang、德克萨斯理工大学的 Zihao Zhan、Certik 的haoqi Shan、佛罗里达大学的 Siqi Dai、佛罗里达大学的 Max Panoff 和佛罗里达大学的 Shuo Wang
报告称,概念验证攻击并未在野外被利用。尽管如此,鉴于调查结果已公开分享,Vision Pro 用户应立即将眼镜更新至 VisionOS 1.3 或更高版本,以确保自己受到保护。
免责声明
部分内容(图片、文章)翻译/转载自国内外资讯/自媒体平台。文中内容不代表本站立场,如有侵权或其它,请联系 macmao.com@gmail.com,我们会第一时间配合删除。(转载请注明来源自:www.macmao.com)