τα στοιχεία επικοινωνίας μου
ταχυδρομείο[email protected]
2024-09-14
한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina
zhidixi (δημόσιος λογαριασμός: zhidxcom)
σύνταξη |
συντάκτης |. mo ying
το περιοδικό wired ανέφερε χθες ότι έξι επιστήμονες υπολογιστών βρήκαν μια νέα μέθοδο επίθεσης ενάντια στα ακουστικά apple mr vision pro και το ονόμασαν gazeploit. η μέθοδος επίθεσης χρησιμοποιεί την τεχνολογία eye-tracking της συσκευής για να αποκρυπτογραφήσει τι εισάγουν οι χρήστες στο εικονικό πληκτρολόγιο, συμπεριλαμβανομένων κωδικών πρόσβασης, pin και άλλων ευαίσθητων πληροφοριών.
η παρακολούθηση ματιών είναι μία από τις μεθόδους αλληλεπίδρασης με τον χρήστη του vision pro. όταν χρησιμοποιείτε το vision pro, τα μάτια σας είναι το ποντίκι σας. όταν πληκτρολογείτε κείμενο, θα δείτε ένα κινητό εικονικό πληκτρολόγιο με δυνατότητα αλλαγής μεγέθους. όταν επισημαίνετε ένα γράμμα, πατήστε με δύο δάχτυλα για να ολοκληρώσετε τη λειτουργία εισαγωγής.
ωστόσο, αυτή η προηγμένη τεχνολογία παρακολούθησης ματιών μπορεί επίσης να αποτελέσει πηγή τρωτών σημείων ασφαλείας. αναλύοντας τα δεδομένα παρακολούθησης των ματιών των χρηστών, οι εισβολείς μπορούν να αποκρυπτογραφήσουν τι πληκτρολογούν οι χρήστες σε εικονικά πληκτρολόγια και να αναπαράγουν με επιτυχία κωδικούς πρόσβασης,κωδικός pinκαι άλλες ευαίσθητες πληροφορίες.
ερευνητές στο gazeploit ενημέρωσαν την apple για την ευπάθεια τον απρίλιο,apple inc.μια ενημέρωση κώδικα κυκλοφόρησε στα τέλη ιουλίου για να διορθωθεί ο πιθανός κίνδυνος διαρροής δεδομένων.
κατά τη διαδικασία χρήσης του apple vision pro, οι χρήστες είναι πιθανό να χρησιμοποιούν το persona κατά τη διεξαγωγή ζωντανών μεταδόσεων ή βιντεοδιασκέψεων.
το persona είναι ένα ψηφιακό avatar που δημιουργήθηκε από την apple και επιτρέπει στους χρήστες να εμφανίζονται ως avatar κατά τη διάρκεια βιντεοκλήσεων.αυτή η δυνατότητα χρησιμοποιεί πολλαπλές κάμερες και αισθητήρες στα ακουστικά για να καταγράφει σαρώσεις προσώπου και δεδομένα μέτρησης 3d του χρήστη για να δημιουργήσει ένα ψηφιακό avatar που μοιάζει και κινείται όπως ο χρήστης.
κατά τη διάρκεια μιας βιντεοκλήσης, η περσόνα του χρήστη, συμπεριλαμβανομένων του κεφαλιού, των ώμων και των χεριών, θα εμφανίζεται σε ένα πλωτό κουτί, φέρνοντας μια πιο φυσική εμπειρία επικοινωνίας.
"αυτές οι τεχνολογίες... ενδέχεται να εκθέσουν κατά λάθος τα βιομετρικά δεδομένα του προσώπου ενός χρήστη, συμπεριλαμβανομένων των δεδομένων παρακολούθησης ματιών, κατά τη διάρκεια μιας βιντεοκλήσης. το ψηφιακό avatar θα αντανακλά τις κινήσεις των ματιών του χρήστη."οι ερευνητές έγραψαν σε ένα προεκτυπωμένο έγγραφο που περιγράφει λεπτομερώς τα ευρήματά τους.
σύμφωνα με τους ερευνητές, κατά τη διάρκεια της επίθεσης στο gazeploit, δεν απέκτησαν πρόσβαση στο vision pro, με αποτέλεσμα να μην μπορούν να δουν την προβολή του χρήστη.
η επίθεση gazeploit βασίζεται μόνο σε δύο βιομετρικά χαρακτηριστικά που μπορούν να εξαχθούν από το πλάνα persona: eye aspect ratio και gaze estimation.
«το να ξέρεις πού κοιτάζει ο χρήστης είναι μια πολύ ισχυρή ικανότητα», λέει η αλεξάνδρα παπουτσάκη, αναπληρώτρια καθηγήτρια πληροφορικής στο pomona college. σπούδασε εδώ και καιρό την τεχνολογία παρακολούθησης ματιών και έκανε ανασκόπηση της έρευνας του gazeploit για το περιοδικό wired.
αυτό που είναι εντυπωσιακό σε αυτή τη μελέτη, σύμφωνα με την παπουτσάκη, είναι ότι βασίστηκε αποκλειστικά στις ροές βίντεο persona των χρηστών.αντίθετα, θα ήταν πολύ πιο δύσκολο για έναν χάκερ να αποκτήσει πρόσβαση στο vision pro και να επιχειρήσει να εκμεταλλευτεί τα δεδομένα παρακολούθησης ματιών.
«αυτή τη στιγμή, οι χρήστες κινδυνεύουν να εκθέσουν τις ενέργειές τους απλώς μοιράζοντας την προσωπικότητά τους μέσω streaming», είπε.
σύμφωνα με τον ερευνητή zihao zhan,η επίθεση του gazeploit χωρίζεται σε δύο μέρη.
αρχικά, οι ερευνητές δημιούργησαν έναν τρόπο να προσδιορίσουν εάν ένας χρήστης πληκτρολογούσε κείμενο ενώ φορούσε το vision pro, αναλύοντας το 3d avatar που μοιράζεται ο χρήστης.
κατέγραψαν την απόδοση 30 avatar σε διάφορες εργασίες εισαγωγής κειμένου και χρησιμοποίησαν τα δεδομένα για να εκπαιδεύσουν ένα επαναλαμβανόμενο νευρωνικό δίκτυο (ένα μοντέλο βαθιάς μάθησης).
σύμφωνα με τους ερευνητές, όταν κάποιος χρησιμοποιεί το vision pro για εισαγωγή κειμένου, τα μάτια του εστιάζουν στο πλήκτρο που πρόκειται να πατήσουν και στη συνέχεια μετακινούνται γρήγορα στο επόμενο πλήκτρο.
"όταν εισάγουμε κείμενο, οι κινήσεις των ματιών μας θα δείχνουν κάποια κανονικά μοτίβα."
ένας άλλος ερευνητής, ο hanqiu wang, πρόσθεσε ότι αυτά τα μοτίβα είναι πιο συνηθισμένα κατά την εισαγωγή κειμένου παρά κατά την περιήγηση στον ιστό ή την παρακολούθηση βίντεο. «κατά τη διάρκεια εργασιών όπως η εισαγωγή κειμένου, το αναβοσβήσιμο εμφανίζεται λιγότερο συχνά λόγω μεγαλύτερης συγκέντρωσης», εξηγεί.
το δεύτερο μέρος της έρευνας χρησιμοποιεί γεωμετρικούς υπολογισμούς για να συμπεράνει πού τοποθετεί ο χρήστης το πληκτρολόγιο στον εικονικό χώρο και το μέγεθός του.
«η μόνη απαίτηση είναι ότι εφόσον λαμβάνουμε αρκετές πληροφορίες για την κίνηση των ματιών και μπορούμε να επαναφέρουμε με ακρίβεια το πληκτρολόγιο, τότε μπορούν να ανιχνευθούν οι επόμενες εισαγωγές πλήκτρων», εξήγησε ο zhan.
συνδυάζοντας αυτά τα δύο στοιχεία, μπόρεσαν να προβλέψουν τα πλήκτρα που θα μπορούσε να πληκτρολογήσει ένας χρήστης. σε μια σειρά εργαστηριακών δοκιμών, αν και δεν γνώριζαν τις συνήθειες πληκτρολόγησης κειμένου των θυμάτων, την ταχύτητά τους ή την ακριβή θέση των πληκτρολογίων τους, οι ερευνητές μπορούσανέως 5 εικασίεςμέσο:
με92.1%η ακρίβεια της πρόβλεψηςγράμματα σε μηνύματα κειμένου;με77%η ακρίβεια της εικασίαςγράμματα στον κωδικό πρόσβασης;με73%η ακρίβεια της εικασίαςκωδικός pin;με86.1%η ακρίβεια της εικασίαςγράμματα σε email, url και ιστοσελίδες。
η επίθεση gazeploit μελετήθηκε σε εργαστηριακό περιβάλλον και δεν έχει ακόμη εφαρμοστεί στον πραγματικό κόσμο εναντίον χρηστών του persona. σύμφωνα με ερευνητές,στην πραγματική χρήση, οι χάκερ μπορούν να χρησιμοποιήσουν τη διαρροή δεδομένων για να επιτεθούν.
θεωρητικά, ένας χάκερ θα μπορούσε να μοιραστεί ένα αρχείο σε ένα θύμα κατά τη διάρκεια μιας κλήσης zoom, το οποίο θα μπορούσε στη συνέχεια να συνδεθεί σε έναν λογαριασμό google ή microsoft. σε αυτό το σημείο, ο εισβολέας μπορεί να καταγράψει την περσόνα του θύματος και να ανακτήσει τον κωδικό πρόσβασης του θύματος μέσω μιας επίθεσης gazeploit για πρόσβαση στον λογαριασμό του.
οι ερευνητές του gazeploit ανέφεραν τα ευρήματά τους στην apple τον απρίλιο και στη συνέχεια έστειλαν κώδικα απόδειξης ιδέας στην apple.
η apple διόρθωσε αυτό το θέμα ευπάθειας σε μια ενημέρωση λογισμικού για το vision pro στα τέλη ιουλίου. το συγκεκριμένο μέτρο ήταν η αυτόματη αναστολή της λειτουργίας persona όταν ο χρήστης χρησιμοποιεί το εικονικό πληκτρολόγιο.
η apple λέει ότι το πρόβλημα έχει επιλυθεί στο visionos 1.3. αν και η apple δεν ανέφερε μια επιδιόρθωση για την ευπάθεια στις σημειώσεις ενημέρωσης λογισμικού της, αναφέρεται λεπτομερώς στη σημείωση ασφαλείας της εταιρείας.
η apple εκχώρησε το ελάττωμα cve-2024-40865 και συνέστησε στους χρήστες του vision pro να κατεβάσουν την πιο πρόσφατη ενημέρωση λογισμικού.
καθώς οι φορητές συσκευές γίνονται ελαφρύτερες και φθηνότερες και καταγράφουν όλο και περισσότερα προσωπικά βιομετρικά δεδομένα, το ζήτημα της προστασίας του απορρήτου των χρηστών γίνεται όλο και πιο εμφανές. τα δεδομένα που συλλέγονται από αυτές τις συσκευές δεν περιλαμβάνουν μόνο προσωπικές πληροφορίες για την υγεία, αλλά μπορεί επίσης να περιλαμβάνουν ευαίσθητες πληροφορίες, όπως η τοποθεσία και οι συνήθειες δραστηριότητας μόλις διαρρεύσουν ή χρησιμοποιηθούν κατάχρηση, θα αποτελέσουν σοβαρή απειλή για το προσωπικό απόρρητο.
"μαζί μεέξυπνα γυαλιά, xr καιέξυπνο ρολόικαθώς οι φορητές συσκευές ενσωματώνονται ολοένα και περισσότερο στην καθημερινή ζωή, οι άνθρωποι συχνά δεν γνωρίζουν πλήρως τις τεράστιες ποσότητες δεδομένων που μπορούν να συλλέξουν αυτές οι συσκευές σχετικά με τις συμπεριφορές και τις προτιμήσεις τους, καθώς και τους κινδύνους που μπορεί να έχει αυτό για το απόρρητο και την ασφάλεια. "ο cheng zhang, επίκουρος καθηγητής στο πανεπιστήμιο cornell, είπε. το ερευνητικό του έργο περιλαμβάνει την ανάπτυξη φορητών συσκευών που βοηθούν στην ερμηνεία της ανθρώπινης συμπεριφοράς.
«αυτό το χαρτί δείχνει ξεκάθαρα έναν συγκεκριμένο κίνδυνο με την πληκτρολόγηση με το βλέμμα, αλλά είναι απλώς η κορυφή του παγόβουνου», είπε ο zhang «ενώ αυτές οι τεχνολογίες αναπτύσσονται για θετικούς σκοπούς, πρέπει επίσης να γνωρίζουμε τις πιθανές επιπτώσεις στο απόρρητο και την ασφάλεια. και να αρχίσουμε να λαμβάνουμε μέτρα για τη μείωση των πιθανών κινδύνων που μπορεί να προκύψουν από φορητές συσκευές στο μέλλον».
πηγή: περιοδικό wired
συλλέξτε και οργανώστε τις πιο πρόσφατες πληροφορίες ειδήσεων και κάντε τις δωρεάν για έλεγχο από όλους.
ταχυδρομείο[email protected]