2024-09-14
한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina
zhidixi (julkinen tili: zhidxcom)
kääntää |
toimittaja |. mo ying
wired-lehti raportoi eilen, että kuusi tietotekniikan tutkijaa löysi uuden hyökkäysmenetelmän apple mr -kuulokkeita vastaan vision pro ja antoi sille nimen gazeploit. hyökkäysmenetelmä käyttää laitteen katseenseurantatekniikkaa selvittääkseen, mitä käyttäjät syöttävät virtuaalinäppäimistöllä, mukaan lukien salasanat, pin-koodit ja muut arkaluontoiset tiedot.
silmänseuranta on yksi vision pron käyttäjävuorovaikutusmenetelmistä. kun käytät vision prota, silmäsi ovat hiiri. kun kirjoitat tekstiä, näet siirrettävän virtuaalisen näppäimistön, jonka kokoa voi muuttaa. kun määrität kirjaimen, napauta kahdella sormella viimeistelläksesi syöttötoiminnon.
tämä edistynyt katseenseurantatekniikka voi kuitenkin olla myös tietoturva-aukkojen lähde. analysoimalla käyttäjien katseenseurantatietoja hyökkääjät voivat tulkita, mitä käyttäjät kirjoittavat virtuaalinäppäimistöillä, ja toistaa salasanat onnistuneesti,pin-koodija muita arkaluonteisia tietoja.
gazeploitin tutkijat ilmoittivat applelle haavoittuvuudesta huhtikuussa,apple inc.heinäkuun lopussa julkaistiin korjaustiedosto, joka korjaa mahdollisen tietovuotojen riskin.
apple vision prota käyttäessään käyttäjät käyttävät todennäköisesti personaa suorien lähetysten tai videokonferenssien aikana.
persona on applen luoma digitaalinen avatar, jonka avulla käyttäjät voivat esiintyä avatarina videopuheluiden aikana.tämä ominaisuus käyttää useita kuulokemikrofonissa olevia kameroita ja antureita kaappaamaan kasvokuvauksia ja 3d-mittaustietoja käyttäjän luomiseksi digitaalisen avatarin, joka näyttää ja liikkuu kuin käyttäjä.
videopuhelun aikana käyttäjän persoona, mukaan lukien pää, hartiat ja kädet, näytetään kelluvassa laatikossa, mikä tuo luonnollisemman viestintäkokemuksen.
"nämä tekniikat... voivat vahingossa paljastaa käyttäjän kasvojen biometriset tiedot, mukaan lukien katseenseurantatiedot, videopuhelun aikana. digitaalinen avatar heijastaa käyttäjän silmien liikkeitä."tutkijat kirjoittivat esipainetussa paperissa yksityiskohtaisesti havainnoistaan.
tutkijoiden mukaan gazeploit-hyökkäyksen aikana he eivät päässeet vision prohon, joten he eivät voineet nähdä käyttäjän näkymää.
gazeploit-hyökkäys perustuu vain kahteen biometriseen ominaisuuteen, jotka voidaan poimia persona-materiaalista: eye aspect ratio ja gaze estimation.
"käyttäjän katselun tietäminen on erittäin voimakas kyky", sanoi alexandra papoutsaki, pomona collegen tietojenkäsittelytieteen apulaisprofessori. hän on pitkään opiskellut katseenseurantatekniikkaa ja arvostellut gazeploitin tutkimusta wired-lehdelle.
papoutsakin mukaan tässä tutkimuksessa silmiinpistävää on se, että se perustui yksinomaan käyttäjien persona-videovirtoihin.sitä vastoin hakkerin olisi paljon vaikeampaa päästä vision prohon ja yrittää hyödyntää katseenseurantatietoja.
"juuri nyt käyttäjät ovat vaarassa paljastaa toimintansa yksinkertaisesti jakamalla persoonaansa suoratoiston kautta", hän sanoi.
tutkija zihao zhanin mukaangazeploit-hyökkäys on jaettu kahteen osaan.
ensin tutkijat loivat tavan tunnistaa, kirjoittiko käyttäjä tekstiä käyttäessään vision prota, analysoimalla käyttäjän jakamaa 3d-avataria.
he tallensivat 30 avatarin suorituskyvyn erilaisissa tekstinsyöttötehtävissä ja käyttivät tietoja kouluttaakseen toistuvaa hermoverkkoa (syväoppimismalli).
tutkijoiden mukaan, kun joku käyttää vision prota tekstinsyöttöön, hänen katseensa keskittyy näppäimeen, jota hän on painamassa, ja siirtyy sitten nopeasti seuraavaan näppäimeen.
"kun syötämme tekstiä, silmämme liikkeet näyttävät joitain säännöllisiä kuvioita", sanoi zhan.
toinen tutkija, hanqiu wang, lisäsi, että nämä kuviot ovat yleisempiä tekstinsyötön aikana kuin nettiä selatessa tai videoita katseltaessa. "tekstinsyötön kaltaisten tehtävien aikana vilkkuminen tapahtuu harvemmin suuremman keskittymisen vuoksi", hän selittää.
tutkimuksen toisessa osassa päätetään geometristen laskelmien avulla, mihin käyttäjä sijoittaa näppäimistön virtuaalitilaan ja sen kokoa.
"ainoa vaatimus on, että niin kauan kuin saamme riittävästi tietoa silmien liikkeistä ja voimme palauttaa näppäimistön tarkasti, myöhemmät näppäinsyötteet voidaan havaita", zhan selitti.
yhdistämällä nämä kaksi elementtiä he pystyivät ennustamaan näppäinpainalluksia, joita käyttäjä saattaa kirjoittaa. vaikka he eivät tienneet uhrien kirjoitustottumuksia, nopeutta tai näppäimistöjen tarkkaa sijaintia, tutkijat pystyivät useissa laboratoriotesteissä.jopa 5 arvaustakeskellä:
kirjoittaja92.1%ennustamisen tarkkuuskirjeitä tekstiviesteissä; kirjoittaja77%arvauksen tarkkuuskirjaimia salasanassa; kirjoittaja73%arvauksen tarkkuuspin-koodi; kirjoittaja86.1%arvauksen tarkkuuskirjeet sähköposteissa, url-osoitteissa ja verkkosivuilla。
gazeploit-hyökkäystä tutkittiin laboratorioympäristössä, eikä sitä ole vielä toteutettu todellisessa maailmassa personan käyttäjiä vastaan. tutkijoiden mukaanvarsinaisessa käytössä hakkerit voivat käyttää tietovuotoa hyökätäkseen.
teoriassa hakkeri voisi jakaa tiedoston uhrille zoom-puhelun aikana, joka voisi sitten kirjautua google- tai microsoft-tilille. tässä vaiheessa hyökkääjä voi tallentaa uhrin persoonan ja palauttaa uhrin salasanan gazeploit-hyökkäyksen kautta päästäkseen hänen tililleen.
gazeploit-tutkijat ilmoittivat havainnoistaan applelle huhtikuussa ja lähettivät sitten applelle konseptin todistekoodin.
apple korjasi tämän haavoittuvuuden vision pron ohjelmistopäivityksellä heinäkuun lopussa. erityisenä toimenpiteenä oli persona-toiminnon automaattinen keskeytys, kun käyttäjä käyttää virtuaalista näppäimistöä.
apple sanoo, että ongelma on ratkaistu visionos 1.3:ssa. vaikka apple ei maininnut haavoittuvuuden korjausta ohjelmistopäivitysmuistiinpanoissaan, se on kuvattu yksityiskohtaisesti yhtiön tietoturvahuomautuksessa.
apple määritti vian cve-2024-40865 ja suositteli vision pron käyttäjiä lataamaan uusimman ohjelmistopäivityksen.
kun puettavat laitteet tulevat kevyemmiksi ja halvemmiksi ja keräävät yhä enemmän henkilökohtaisia biometrisiä tietoja, käyttäjien yksityisyyden suoja on tullut yhä näkyvämmäksi. näiden laitteiden keräämät tiedot eivät sisällä vain henkilökohtaisia terveystietoja, vaan ne voivat sisältää myös arkaluonteisia tietoja, kuten sijainti- ja toimintatottumuksia.
"yhdessäälylasit, xr jaälykellokun puettavat laitteet integroituvat yhä enemmän jokapäiväiseen elämään, ihmiset eivät useinkaan ole täysin tietoisia siitä, kuinka suuria määriä dataa nämä laitteet voivat kerätä käyttäytymisestään ja mieltymyksistään, ja siitä mahdollisesti aiheutuvista tietosuoja- ja turvallisuusriskeistä. "cornellin yliopiston apulaisprofessori cheng zhang sanoi. hänen tutkimustyönsä liittyy puettavien laitteiden kehittämiseen, jotka auttavat tulkitsemaan ihmisen käyttäytymistä.
"tämä paperi osoittaa selvästi katseen kirjoittamiseen liittyvän riskin, mutta se on vain jäävuoren huippu", zhang sanoi. "vaikka näitä tekniikoita kehitetään positiivisiin tarkoituksiin, meidän on myös oltava tietoisia mahdollisista yksityisyyden ja turvallisuuden vaikutuksista. ja ryhtyä toimiin vähentääkseen puetettavista laitteista mahdollisesti aiheutuvia riskejä tulevaisuudessa."
lähde: wired magazine
kerää ja järjestele viimeisimmät uutiset ja tee ne kaikkien tarkastettavaksi ilmaiseksi.
