O Vision Pro da Apple tem uma maneira de mostrar ao mundo uma versão virtual de você enquanto você interage com outros em realidade virtual. Infelizmente, esse mesmo recurso – chamado Persona – pode ter sido usado por hackers para roubar dados sensíveis de um usuário do Vision Pro.
A falha de segurança foi descoberta por um grupo de seis cientistas da computação do Departamento de Ciência da Computação da Universidade da Flórida e foi relatada pela primeira vez por Com fio.
O Ataque GAZEploitcomo foi apelidado pelos pesquisadores, funciona rastreando os movimentos oculares da Persona de um usuário para identificar quando eles estão digitando algo no teclado virtual do Vision Pro. Os pesquisadores descobriram que os usuários tendem a direcionar seu olhar para teclas específicas que estão prestes a clicar e foram capazes de construir um algoritmo que identificou o que os usuários estavam digitando. Os resultados foram bastante precisos; por exemplo, os pesquisadores foram capazes de identificar as letras corretas das senhas dos usuários 77% das vezes. Quando se tratava de detectar o que as pessoas estavam digitando em uma mensagem, os resultados foram precisos 92% das vezes.
Velocidade da luz Mashable
Os pesquisadores revelaram a vulnerabilidade para a Apple em abril, e a Apple a corrigiu no visionOS 1.3, que saiu em julho. No notas de lançamentoA Apple diz que a falha permitiu que as entradas no teclado virtual fossem inferidas do Persona.
“O problema foi resolvido suspendendo o Persona quando o teclado virtual está ativo”, escreveu a Apple nas notas de lançamento. Usuários do Vision Pro que ainda não atualizaram para a versão mais recente são aconselhados a fazê-lo o mais rápido possível.
Embora desabilitar o Persona enquanto o usuário digita tenha sido uma solução bem simples, a falha levanta a questão de quanta informação um hacker mal-intencionado poderia inferir apenas observando uma versão virtual de você.
Apple Vision Pro: Assisti a um show da Billie Eilish em Bora Bora — e não precisei gastar um centavo
Os pesquisadores disseram que o ataque não foi usado contra alguém usando Personas no mundo real. Mas o que torna esse ataque particularmente perigoso é que ele só requer uma gravação de vídeo da Persona de alguém enquanto a pessoa estava digitando, o que significa que um invasor ainda poderia usá-lo em um vídeo mais antigo. Parece que a única maneira de mitigar esse problema é apagar todos os vídeos disponíveis publicamente onde sua Persona esteja visível enquanto você digita; entramos em contato com a Apple para esclarecer o que pode ser feito para proteger seus dados.
Tópicos
Segurança cibernética da Apple
