informasi kontak saya
surat[email protected]
2024-09-14
한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina
zhidixi (akun publik: zhidxcom)
kompilasi |.vendii
penyunting |.mo ying
majalah wired kemarin melaporkan bahwa enam ilmuwan komputer menemukan metode serangan baru terhadap headset apple mr vision pro dan menamakannya gazeploit. metode serangan ini menggunakan teknologi pelacakan mata pada perangkat untuk menguraikan apa yang dimasukkan pengguna pada keyboard virtual, termasuk kata sandi, pin, dan informasi sensitif lainnya.
pelacakan mata adalah salah satu metode interaksi pengguna vision pro. saat menggunakan vision pro, mata anda adalah mouse anda. saat mengetik teks, anda akan melihat keyboard virtual yang dapat dipindahkan dan diubah ukurannya. saat anda menentukan sebuah huruf, ketuk dengan dua jari untuk menyelesaikan operasi input.
namun, teknologi pelacakan mata yang canggih inilah yang juga dapat menjadi sumber kerentanan keamanan. dengan menganalisis data pelacakan mata pengguna, penyerang dapat menguraikan apa yang diketik pengguna di keyboard virtual dan berhasil mereproduksi kata sandi,kode pindan informasi sensitif lainnya.
para peneliti di gazeploit memberi tahu apple tentang kerentanan tersebut pada bulan april,perusahaan apel.patch dirilis pada akhir juli untuk memperbaiki potensi risiko kebocoran data.
dalam proses penggunaan apple vision pro, kemungkinan besar pengguna akan menggunakan persona saat melakukan siaran langsung atau konferensi video.
persona adalah avatar digital yang dibuat oleh apple yang memungkinkan pengguna tampil sebagai avatar selama panggilan video.fitur ini memanfaatkan beberapa kamera dan sensor di headset untuk menangkap data pemindaian wajah dan pengukuran 3d pengguna untuk membuat avatar digital yang terlihat dan bergerak seperti pengguna.
selama panggilan video, persona pengguna, termasuk kepala, bahu, dan tangan, akan ditampilkan dalam kotak mengambang, menghadirkan pengalaman komunikasi yang lebih natural.
"teknologi ini... mungkin secara tidak sengaja mengekspos data biometrik wajah pengguna, termasuk data pelacakan mata, selama panggilan video. avatar digital akan mencerminkan pergerakan mata pengguna."para peneliti menulis dalam makalah pracetak yang merinci temuan mereka.
menurut para peneliti, selama serangan gazeploit, mereka tidak mendapatkan akses ke vision pro, sehingga tidak dapat melihat tampilan pengguna.
serangan gazeploit hanya mengandalkan dua fitur biometrik yang dapat diekstraksi dari rekaman persona: rasio aspek mata dan estimasi tatapan.
“mengetahui di mana pengguna melihat adalah kemampuan yang sangat kuat,” kata alexandra papoutsaki, profesor ilmu komputer di pomona college. dia telah lama mempelajari teknologi pelacakan mata dan mengulas penelitian gazeploit untuk majalah wired.
yang menarik dari penelitian ini, menurut papoutsaki, adalah penelitian ini hanya mengandalkan aliran video persona pengguna.sebaliknya, akan lebih sulit bagi peretas untuk mendapatkan akses ke vision pro dan berupaya mengeksploitasi data pelacakan mata.
“saat ini, pengguna berisiko mengekspos tindakan mereka hanya dengan membagikan kepribadian mereka melalui streaming,” katanya.
menurut peneliti zihao zhan,serangan gazeploit dibagi menjadi dua bagian.
pertama, para peneliti menciptakan cara untuk mengidentifikasi apakah pengguna mengetik teks saat memakai vision pro dengan menganalisis avatar 3d yang dibagikan oleh pengguna.
mereka mencatat kinerja 30 avatar pada berbagai tugas masukan teks dan menggunakan data tersebut untuk melatih jaringan saraf berulang (model pembelajaran mendalam).
menurut para peneliti, ketika seseorang menggunakan vision pro untuk input teks, mata mereka fokus pada tombol yang akan mereka tekan dan kemudian dengan cepat berpindah ke tombol berikutnya.
“saat kita memasukkan teks, gerakan mata kita akan menunjukkan pola yang teratur.”
peneliti lain, hanqiu wang, menambahkan bahwa pola ini lebih umum terjadi saat mengetik teks dibandingkan saat menjelajahi web atau menonton video. “saat melakukan tugas seperti memasukkan teks, kedipan lebih jarang terjadi karena konsentrasi yang lebih besar,” jelasnya.
penelitian bagian kedua menggunakan perhitungan geometris untuk menyimpulkan di mana pengguna menempatkan keyboard di ruang virtual dan ukurannya.
“satu-satunya persyaratan adalah selama kita memperoleh informasi pergerakan mata yang cukup dan dapat memulihkan keyboard secara akurat, maka input tombol berikutnya dapat dideteksi,” jelas zhan.
dengan menggabungkan kedua elemen ini, mereka dapat memprediksi penekanan tombol yang mungkin diketik pengguna. dalam serangkaian tes laboratorium, meskipun mereka tidak mengetahui kebiasaan mengetik teks korban, kecepatan mereka, atau lokasi persis keyboard mereka, para peneliti bisahingga 5 tebakantengah:
oleh92.1%keakuratan prediksisurat dalam pesan teks;oleh77%keakuratan menebakhuruf dalam kata sandi;oleh73%keakuratan menebakkode pin;oleh86.1%keakuratan menebaksurat dalam email, url, dan halaman web。
serangan gazeploit dipelajari di lingkungan laboratorium dan belum diterapkan di dunia nyata terhadap pengguna persona. menurut peneliti,dalam penggunaan sebenarnya, peretas mungkin menggunakan kebocoran data untuk menyerang.
secara teori, seorang peretas dapat membagikan file kepada korban selama panggilan zoom, yang kemudian dapat masuk ke akun google atau microsoft. pada titik ini, penyerang dapat merekam kepribadian korban dan memulihkan kata sandi korban melalui serangan gazeploit untuk mengakses akun mereka.
peneliti gazeploit melaporkan temuan mereka ke apple pada bulan april dan kemudian mengirimkan kode bukti konsep ke apple.
apple memperbaiki kerentanan ini dalam pembaruan perangkat lunak untuk vision pro pada akhir juli. tindakan spesifiknya adalah menangguhkan fungsi persona secara otomatis saat pengguna menggunakan keyboard virtual.
apple mengatakan masalah ini telah teratasi di visionos 1.3. meskipun apple tidak menyebutkan perbaikan kerentanan dalam catatan pembaruan perangkat lunaknya, hal ini dijelaskan secara rinci dalam catatan keamanan perusahaan.
apple menetapkan kelemahan cve-2024-40865 dan merekomendasikan pengguna vision pro untuk mengunduh pembaruan perangkat lunak terbaru.
ketika perangkat wearable menjadi lebih ringan dan murah, serta menangkap lebih banyak data biometrik pribadi, isu perlindungan privasi pengguna menjadi semakin menonjol. data yang dikumpulkan oleh perangkat ini tidak hanya melibatkan informasi kesehatan pribadi, tetapi juga dapat mencakup informasi sensitif seperti lokasi dan kebiasaan aktivitas. jika bocor atau disalahgunakan, data tersebut akan menimbulkan ancaman serius terhadap privasi pribadi.
"bersama dengankacamata pintar, xr danjam tangan pintarseiring dengan semakin terintegrasinya perangkat wearable ke dalam kehidupan sehari-hari, orang sering kali tidak sepenuhnya menyadari betapa besarnya jumlah data yang dapat dikumpulkan oleh perangkat tersebut mengenai perilaku dan preferensi mereka, serta risiko privasi dan keamanan yang mungkin ditimbulkannya. "cheng zhang, asisten profesor di cornell university, mengatakan. pekerjaan penelitiannya melibatkan pengembangan perangkat yang dapat dipakai untuk membantu menafsirkan perilaku manusia.
“makalah ini dengan jelas menunjukkan risiko tertentu dalam pengetikan pandangan, tapi ini hanyalah puncak gunung es,” kata zhang. “meskipun teknologi ini dikembangkan untuk tujuan positif, kita juga perlu mewaspadai kemungkinan implikasi privasi dan keamanan yang terlibat. dan mulai mengambil langkah-langkah untuk mengurangi potensi risiko yang mungkin timbul dari perangkat wearable di masa depan.”
sumber: majalah wired
kumpulkan dan atur informasi berita terkini dan jadikan gratis untuk dilihat semua orang.
surat[email protected]