2024-09-14
한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina
zhidixi (öffentliches konto: zhidxcom)
kompilieren |. vendii
herausgeber |. mo ying
das wired-magazin berichtete gestern, dass sechs informatiker eine neue angriffsmethode gegen das apple mr-headset vision pro gefunden und sie gazeploit getauft hätten. die angriffsmethode nutzt die eye-tracking-technologie des geräts, um zu entschlüsseln, was benutzer auf der virtuellen tastatur eingeben, einschließlich passwörtern, pins und anderen vertraulichen informationen.
eye tracking ist eine der benutzerinteraktionsmethoden von vision pro. wenn sie vision pro verwenden, sind ihre augen ihre maus. wenn sie text eingeben, sehen sie eine bewegliche, in der größe veränderbare virtuelle tastatur. wenn sie einen buchstaben gefunden haben, tippen sie mit zwei fingern darauf, um den eingabevorgang abzuschließen.
allerdings kann gerade diese fortschrittliche eye-tracking-technologie auch eine quelle von sicherheitslücken sein. durch die analyse der eye-tracking-daten der benutzer können angreifer entschlüsseln, was benutzer auf virtuellen tastaturen eingeben, und passwörter erfolgreich reproduzieren.pin-codeund andere sensible informationen.
forscher von gazeploit haben apple im april über die sicherheitslücke informiert.apple inc.ende juli wurde ein patch veröffentlicht, um das potenzielle risiko von datenlecks zu beheben.
bei der verwendung von apple vision pro werden benutzer persona wahrscheinlich bei der durchführung von live-übertragungen oder videokonferenzen verwenden.
persona ist ein von apple erstellter digitaler avatar, der es benutzern ermöglicht, bei videoanrufen als avatar aufzutreten.diese funktion nutzt mehrere kameras und sensoren im headset, um gesichtsscans und 3d-messdaten des benutzers zu erfassen und einen digitalen avatar zu erstellen, der wie der benutzer aussieht und sich bewegt.
während eines videoanrufs wird die persona des benutzers, einschließlich kopf, schultern und hände, in einer schwebenden box angezeigt, was für ein natürlicheres kommunikationserlebnis sorgt.
„diese technologien … können während eines videoanrufs unbeabsichtigt die biometrischen gesichtsdaten eines benutzers, einschließlich eye-tracking-daten, preisgeben. der digitale avatar spiegelt die augenbewegungen des benutzers wider.“die forscher schrieben in einem vorabdruckpapier detailliert ihre ergebnisse.
den forschern zufolge hatten sie während des gazeploit-angriffs keinen zugriff auf vision pro und konnten daher die ansicht des benutzers nicht sehen.
der gazeploit-angriff basiert nur auf zwei biometrischen merkmalen, die aus persona-aufnahmen extrahiert werden können: augenseitenverhältnis und blickschätzung.
„zu wissen, wohin der benutzer schaut, ist eine sehr mächtige fähigkeit“, sagte alexandra papoutsaki, außerordentliche professorin für informatik am pomona college. sie beschäftigt sich seit langem mit eye-tracking-technologie und hat die forschung von gazeploit für das wired-magazin überprüft.
das auffällige an dieser studie ist laut papoutsaki, dass sie sich ausschließlich auf die persona-videostreams der benutzer stützte.im gegensatz dazu wäre es für einen hacker viel schwieriger, sich zugang zu vision pro zu verschaffen und zu versuchen, eye-tracking-daten auszunutzen.
„im moment riskieren benutzer, ihre handlungen bloßzustellen, indem sie ihre persönlichkeit per streaming teilen“, sagte sie.
laut dem forscher zihao zhander gazeploit-angriff ist in zwei teile gegliedert.
zunächst entwickelten die forscher eine möglichkeit, um festzustellen, ob ein benutzer text tippte, während er das vision pro trug, indem sie den vom benutzer geteilten 3d-avatar analysierten.
sie zeichneten die leistung von 30 avataren bei verschiedenen texteingabeaufgaben auf und nutzten die daten, um ein wiederkehrendes neuronales netzwerk (ein deep-learning-modell) zu trainieren.
wenn jemand vision pro für die texteingabe verwendet, konzentrieren sich die augen laut den forschern auf die taste, die er gerade drücken möchte, und wechseln dann schnell zur nächsten taste.
„wenn wir text eingeben, zeigen unsere augenbewegungen einige regelmäßige muster.“
ein anderer forscher, hanqiu wang, fügte hinzu, dass diese muster bei der texteingabe häufiger auftreten als beim surfen im internet oder beim ansehen von videos. „bei aufgaben wie der texteingabe kommt es aufgrund der höheren konzentration seltener zu blinzeln“, erklärt er.
der zweite teil der forschung nutzt geometrische berechnungen, um abzuleiten, wo der benutzer die tastatur im virtuellen raum platziert und welche größe sie hat.
„die einzige voraussetzung ist, dass nachfolgende tasteneingaben erkannt werden können, solange wir genügend augenbewegungsinformationen erhalten und die tastatur genau wiederherstellen können“, erklärte zhan.
durch die kombination dieser beiden elemente konnten sie vorhersagen, welche tastenanschläge ein benutzer möglicherweise eingeben würde. in einer reihe von labortests wussten die forscher zwar nichts über die schreibgewohnheiten der opfer, ihre geschwindigkeit oder die genaue position ihrer tastaturen, konnten dies jedoch tunbis zu 5 vermutungenmitte:
von92.1%die genauigkeit der vorhersagebuchstaben in textnachrichten;von77%die genauigkeit des ratensbuchstaben im passwort;von73%die genauigkeit des ratenspin-code;von86.1%die genauigkeit des ratensbuchstaben in e-mails, urls und webseiten。
der gazeploit-angriff wurde in einer laborumgebung untersucht und in der realen welt noch nicht gegen benutzer von persona umgesetzt. laut forschernim tatsächlichen einsatz können hacker datenlecks für angriffe nutzen.
theoretisch könnte ein hacker während eines zoom-anrufs eine datei an ein opfer weitergeben, das sich dann bei einem google- oder microsoft-konto anmelden könnte. an diesem punkt kann der angreifer die identität des opfers aufzeichnen und durch einen gazeploit-angriff das passwort des opfers wiederherstellen, um auf sein konto zuzugreifen.
gazeploit-forscher meldeten ihre ergebnisse im april an apple und schickten anschließend einen proof-of-concept-code an apple.
apple hat diese schwachstelle ende juli in einem software-update für vision pro behoben. die konkrete maßnahme bestand darin, die persona-funktion automatisch auszusetzen, wenn der benutzer die virtuelle tastatur verwendet.
laut apple wurde das problem in visionos 1.3 behoben. während apple in seinen software-update-hinweisen keine lösung für die sicherheitslücke erwähnt, wird diese im sicherheitshinweis des unternehmens detailliert beschrieben.
apple hat den fehler cve-2024-40865 erkannt und vision pro-benutzern empfohlen, das neueste software-update herunterzuladen.
da tragbare geräte immer leichter und billiger werden und immer mehr persönliche biometrische daten erfassen, rückt das thema schutz der privatsphäre der benutzer immer stärker in den vordergrund. die von diesen geräten gesammelten daten umfassen nicht nur persönliche gesundheitsinformationen, sondern können auch sensible informationen wie standort und aktivitätsgewohnheiten umfassen. wenn sie einmal durchsickern oder missbraucht werden, stellen sie eine ernsthafte bedrohung für die privatsphäre dar.
"zusammen mitsmart-brille, xr undsmartwatchda tragbare geräte zunehmend in das tägliche leben integriert werden, sind sich die menschen oft nicht vollständig bewusst, welche riesigen datenmengen diese geräte über ihr verhalten und ihre vorlieben sammeln können und welche datenschutz- und sicherheitsrisiken dies mit sich bringen kann. "sagte cheng zhang, assistenzprofessor an der cornell university. seine forschungsarbeit umfasst die entwicklung tragbarer geräte zur interpretation menschlichen verhaltens.
„dieses papier zeigt eindeutig ein spezifisches risiko beim blickschreiben, aber es ist nur die spitze des eisbergs“, sagte zhang. „während diese technologien für positive zwecke entwickelt werden, müssen wir uns auch der möglichen auswirkungen auf den datenschutz und die sicherheit bewusst sein.“ und maßnahmen ergreifen, um die potenziellen risiken zu verringern, die in zukunft von tragbaren geräten ausgehen können.“
quelle: wired magazine
sammeln und organisieren sie die neuesten nachrichteninformationen und stellen sie sie für alle kostenlos zur verfügung.
