2024-09-14
한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina
zhidixi (compte public : zhidxcom)
compiler |
editeur | mo ying
le magazine wired a rapporté hier que six informaticiens ont trouvé une nouvelle méthode d'attaque contre le casque apple mr vision pro et l'ont baptisée gazeploit. la méthode d'attaque utilise la technologie de suivi oculaire de l'appareil pour déchiffrer ce que les utilisateurs saisissent sur le clavier virtuel, y compris les mots de passe, les codes pin et autres informations sensibles.
le suivi oculaire est l'une des méthodes d'interaction utilisateur de vision pro. lorsque vous utilisez vision pro, vos yeux sont votre souris. lorsque vous tapez du texte, vous verrez un clavier virtuel mobile et redimensionnable. lorsque vous localisez une lettre, appuyez avec deux doigts pour terminer l'opération de saisie.
cependant, c’est cette technologie avancée de suivi oculaire qui peut également être une source de failles de sécurité. en analysant les données de suivi oculaire des utilisateurs, les attaquants peuvent déchiffrer ce que les utilisateurs tapent sur les claviers virtuels et réussir à reproduire les mots de passe,code pinet d'autres informations sensibles.
les chercheurs de gazeploit ont informé apple de la vulnérabilité en avril,pomme inc.un correctif a été publié fin juillet pour remédier au risque potentiel de fuite de données.
lors de l'utilisation d'apple vision pro, les utilisateurs sont susceptibles d'utiliser persona lors de diffusions en direct ou de vidéoconférences.
persona est un avatar numérique créé par apple qui permet aux utilisateurs d'apparaître comme un avatar lors des appels vidéo.cette fonctionnalité utilise plusieurs caméras et capteurs dans le casque pour capturer des scans du visage et des données de mesure 3d de l'utilisateur afin de créer un avatar numérique qui ressemble et bouge comme l'utilisateur.
lors d'un appel vidéo, la personnalité de l'utilisateur, y compris la tête, les épaules et les mains, sera affichée dans une boîte flottante, apportant une expérience de communication plus naturelle.
"ces technologies... peuvent exposer par inadvertance les données biométriques faciales d'un utilisateur, y compris les données de suivi oculaire, lors d'un appel vidéo. l'avatar numérique reflétera les mouvements oculaires de l'utilisateur."les chercheurs ont écrit dans un article préliminaire détaillant leurs découvertes.
selon les chercheurs, lors de l'attaque gazeploit, ils n'ont pas eu accès à vision pro et n'ont donc pas pu voir la vue de l'utilisateur.
l'attaque gazeploit repose uniquement sur deux caractéristiques biométriques qui peuvent être extraites des images persona : le rapport d'aspect des yeux et l'estimation du regard.
"savoir où regarde l'utilisateur est une capacité très puissante", a déclaré alexandra papoutsaki, professeure agrégée d'informatique au pomona college. elle étudie depuis longtemps la technologie de suivi oculaire et a examiné les recherches de gazeploit pour le magazine wired.
ce qui est frappant dans cette étude, selon papoutsaki, c’est qu’elle s’appuie uniquement sur les flux vidéo persona des utilisateurs.en revanche, il serait beaucoup plus difficile pour un pirate informatique d’accéder à vision pro et de tenter d’exploiter les données d’oculométrie.
"à l'heure actuelle, les utilisateurs risquent de révéler leurs actions simplement en partageant leur personnalité via le streaming", a-t-elle déclaré.
selon le chercheur zihao zhan,l'attaque gazeploit est divisée en deux parties.
premièrement, les chercheurs ont créé un moyen d'identifier si un utilisateur tapait du texte tout en portant le vision pro en analysant l'avatar 3d partagé par l'utilisateur.
ils ont enregistré les performances de 30 avatars sur diverses tâches de saisie de texte et ont utilisé les données pour entraîner un réseau neuronal récurrent (un modèle d'apprentissage en profondeur).
selon les chercheurs, lorsqu'une personne utilise vision pro pour saisir du texte, ses yeux se concentrent sur la touche sur laquelle il s'apprête à appuyer, puis passent rapidement à la touche suivante.
"lorsque nous saisissons du texte, nos mouvements oculaires présentent des schémas réguliers", a expliqué zhan.
un autre chercheur, hanqiu wang, a ajouté que ces schémas sont plus fréquents lors de la saisie de texte que lors de la navigation sur le web ou du visionnage de vidéos. "lors de tâches telles que la saisie de texte, les clignements des yeux se produisent moins fréquemment en raison d'une plus grande concentration", explique-t-il.
la deuxième partie de la recherche utilise des calculs géométriques pour déduire où l'utilisateur place le clavier dans l'espace virtuel et sa taille.
"la seule exigence est que tant que nous obtenons suffisamment d'informations sur les mouvements oculaires et pouvons restaurer avec précision le clavier, les saisies ultérieures peuvent être détectées", a expliqué zhan.
en combinant ces deux éléments, ils ont pu prédire les frappes qu'un utilisateur pourrait taper. dans une série de tests en laboratoire, même s'ils ne connaissaient pas les habitudes de saisie des victimes, leur vitesse ou l'emplacement exact de leurs claviers, les chercheurs ont pujusqu'à 5 suppositionsmilieu:
par92.1%la précision de la prévisionlettres dans les messages texte;par77%la précision de la suppositionlettres dans le mot de passe;par73%la précision de la suppositioncode pin;par86.1%la précision de la suppositionlettres dans les e-mails, url et pages web。
l'attaque gazeploit a été étudiée en laboratoire et n'a pas encore été mise en œuvre dans le monde réel contre les utilisateurs de persona. selon les chercheurs,en utilisation réelle, les pirates peuvent utiliser la fuite de données pour attaquer.
en théorie, un hacker pourrait partager un fichier avec une victime lors d’un appel zoom, qui pourrait alors se connecter à un compte google ou microsoft. à ce stade, l'attaquant peut enregistrer le personnage de la victime et récupérer le mot de passe de la victime via une attaque gazeploit pour accéder à son compte.
les chercheurs de gazeploit ont rapporté leurs découvertes à apple en avril et ont ensuite envoyé le code de validation de principe à apple.
apple a corrigé cette vulnérabilité dans une mise à jour logicielle pour vision pro fin juillet. la mesure spécifique consistait à suspendre automatiquement la fonction persona lorsque l'utilisateur utilisait le clavier virtuel.
apple affirme que le problème a été résolu dans visionos 1.3. bien qu'apple n'ait pas mentionné de correctif pour la vulnérabilité dans ses notes de mise à jour logicielle, celui-ci est détaillé dans la note de sécurité de l'entreprise.
apple a attribué la faille cve-2024-40865 et a recommandé aux utilisateurs de vision pro de télécharger la dernière mise à jour logicielle.
à mesure que les appareils portables deviennent plus légers et moins chers et capturent de plus en plus de données biométriques personnelles, la question de la protection de la vie privée des utilisateurs devient de plus en plus importante. les données collectées par ces appareils concernent non seulement des informations personnelles sur la santé, mais peuvent également inclure des informations sensibles telles que la localisation et les habitudes d'activité. une fois divulguées ou utilisées à mauvais escient, elles constitueront une menace sérieuse pour la vie privée.
"aveclunettes intelligentes, xr etmontre intelligentealors que les appareils portables sont de plus en plus intégrés dans la vie quotidienne, les gens ne sont souvent pas pleinement conscients des grandes quantités de données que ces appareils peuvent collecter sur leurs comportements et préférences, ainsi que des risques que cela peut entraîner en matière de confidentialité et de sécurité. "cheng zhang, professeur adjoint à l'université cornell, a déclaré. ses travaux de recherche portent sur le développement d'appareils portables pour aider à interpréter le comportement humain.
"cet article démontre clairement un risque spécifique lié à la saisie par le regard, mais ce n'est que la pointe de l'iceberg", a déclaré zhang. "bien que ces technologies soient développées à des fins positives, nous devons également être conscients des implications possibles en matière de confidentialité et de sécurité. et commencer à prendre des mesures pour réduire les risques potentiels pouvant découler des appareils portables à l’avenir.
source : magazine filaire
collectez et organisez les dernières informations d'actualité et rendez-les gratuites pour que tout le monde puisse les consulter.
