據《連線》雜誌報道,今年六位電腦科學家發現了一個與蘋果Vision Pro相關的安全漏洞,這一漏洞允許他們重建用戶輸入的資訊,包括密碼、PIN碼和消息內容。
在使用虛擬Persona時(例如在FaceTime通話期間),當Apple Vision Pro用戶輸入資訊時,研究人員能夠通過分析Persona眼睛的移動或「注視」來確定用戶在虛擬鍵盤上輸入的內容。研究人員創建了一個網站,詳細介紹了這一名為「GAZEploit」的漏洞的技術細節。
研究指出,用戶在準備按下下一個鍵時通常會將目光集中在對應的鍵上,這一行為暴露出了一些常見模式。研究團隊聲稱可以以高達92%的準確率在五次猜測中確定用戶輸入的消息,而在輸入密碼時,準確率也達到77%。
據報道,研究人員在今年4月向蘋果公司披露了這一漏洞,蘋果公司在7月發布的visionOS 1.3更新中對此進行了修復。此次更新通過在虛擬鍵盤激活時暫停Persona功能來解決該問題。
蘋果在其visionOS 1.3的安全說明中添加的條目如下:
可用性:Apple Vision Pro
影響:虛擬鍵盤的輸入可能被Persona推斷出來
描述:通過在虛擬鍵盤激活時暫停Persona解決了該問題
據了解,該研究團隊包括佛羅里達大學的Hanqiu Wang、Siqi Dai、Max Panoff和Shuo Wang,德州理工大學的Zihao Zhan,以及Certik的Haoqi Shan。
儘管目前這一概念驗證攻擊尚未被非法利用,但考慮到研究結果的公開,Vision Pro用戶應立即將頭顯升級至visionOS 1.3或更高版本,以確保安全。
