Vision Pro 是蘋果首度嘗試涉足 XR 領域的產品,雖然 Vision Pro 價格飽受市場批評,但這款產品許多方面都創下業界第一;不過許多「業界第一」也包括這類設備從未出現的新型安全漏洞。
發現這項漏洞的安全研究人員稱為「GAZEploit」,這個漏洞可以理解一個人正在打字的內容。其實你可從人眼看出許多資訊,包括疲勞程度、情緒、健康問題等;而在使用 Vision Pro 時,你的眼睛則可能會透露更多祕密,像是密碼、PIN 碼,以及任何你輸入的訊息。
據《Wired》報導,新型態的攻擊將會暴露使用者的眼動追蹤數據,惡意人士可以破解人們在設備虛擬鍵盤上輸入的內容;惡意人士可以確定受害者正在輸入哪一個鍵,猜密碼的準確率達 77%,而訊息正確率更高達 92%。
不過這項漏洞並不是讓惡意人士直接查看受害者正在觀看的內容,而是透過遠端分析 Vision Pro 創建的虛擬化身眼球運動來了解使用者正在輸入的內容;虛擬化身可應用於 Zoom 通話、Teams、Slack、Reddit、Tinder、Twitter、Skype 和 FaceTime。
研究人員也用 4 月時向蘋果提出相關示警,也於 7 月時釋出修補程式以阻止資料外洩的可能性。研究人員表示,這是首次利用人們「注視」資料的攻擊,這項發現也突顯生物辨識數據會進一步曝露出免敢資訊,未來將可能用於新興監控行業。
(首圖來源:科技新報)