le mie informazioni di contatto
posta[email protected]
2024-09-14
한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina
zhidixi (account pubblico: zhidxcom)
compila |. vendii
editore |. mo ying
la rivista wired ha riferito ieri che sei scienziati informatici hanno trovato un nuovo metodo di attacco contro le cuffie mr vision pro di apple e lo hanno chiamato gazeploit. il metodo di attacco utilizza la tecnologia di tracciamento oculare del dispositivo per decifrare ciò che gli utenti inseriscono sulla tastiera virtuale, comprese password, pin e altre informazioni sensibili.
il tracciamento oculare è uno dei metodi di interazione dell'utente di vision pro. quando usi vision pro, i tuoi occhi sono il tuo mouse. durante la digitazione del testo, vedrai una tastiera virtuale mobile e ridimensionabile. quando individui una lettera, tocca con due dita per completare l'operazione di immissione.
tuttavia, è proprio questa tecnologia avanzata di tracciamento oculare che può anche essere una fonte di vulnerabilità della sicurezza. analizzando i dati di tracciamento oculare degli utenti, gli aggressori possono decifrare ciò che gli utenti digitano sulle tastiere virtuali e riprodurre con successo le password,codice pine altre informazioni sensibili.
i ricercatori di gazeploit hanno notificato ad apple la vulnerabilità in aprile,mela inc.alla fine di luglio è stata rilasciata una patch per correggere il potenziale rischio di fuga di dati.
nel processo di utilizzo di apple vision pro, è probabile che gli utenti utilizzino persona durante le trasmissioni in diretta o le videoconferenze.
persona è un avatar digitale creato da apple che consente agli utenti di apparire come avatar durante le videochiamate.questa funzionalità utilizza più fotocamere e sensori nel visore per creare un avatar digitale che assomiglia e si muove come l'utente acquisendo scansioni facciali e dati di misurazione 3d.
durante una videochiamata, la personalità dell'utente, inclusa testa, spalle e mani, verrà visualizzata in una scatola mobile, offrendo un'esperienza di comunicazione più naturale.
"queste tecnologie... potrebbero inavvertitamente esporre i dati biometrici facciali di un utente, compresi i dati di tracciamento oculare, durante una videochiamata. l'avatar digitale rifletterà i movimenti oculari dell'utente."i ricercatori hanno scritto in un documento prestampato descrivendo in dettaglio i loro risultati.
secondo i ricercatori, durante l'attacco gazeploit non hanno avuto accesso a vision pro e quindi non hanno potuto vedere la vista dell'utente.
l'attacco gazeploit si basa solo su due caratteristiche biometriche che possono essere estratte dai filmati di persona: eye aspect ratio e gaze estimation.
"sapere dove sta guardando l'utente è un'abilità molto potente", ha affermato alexandra papoutsaki, professore associato di informatica al pomona college. ha studiato a lungo la tecnologia di tracciamento oculare e ha esaminato la ricerca di gazeploit per la rivista wired.
ciò che colpisce di questo studio, secondo papoutsaki, è che si è basato esclusivamente sui flussi video persona degli utenti.al contrario, sarebbe molto più difficile per un hacker accedere a vision pro e tentare di sfruttare i dati di tracciamento oculare.
"in questo momento, gli utenti rischiano di esporre le proprie azioni semplicemente condividendo la propria identità tramite streaming", ha affermato.
secondo il ricercatore zihao zhan,l'attacco gazeploit è diviso in due parti.
innanzitutto, i ricercatori hanno creato un modo per identificare se un utente stava inserendo del testo mentre indossava vision pro analizzando l’avatar 3d condiviso dall’utente.
hanno registrato le prestazioni di 30 avatar in varie attività di immissione di testo e hanno utilizzato i dati per addestrare una rete neurale ricorrente (un modello di deep learning).
secondo i ricercatori, quando qualcuno utilizza vision pro per l'immissione di testo, i suoi occhi si concentrano sul tasto che stanno per premere per poi passare rapidamente al tasto successivo.
"quando inseriamo il testo, i nostri movimenti oculari mostreranno alcuni schemi regolari."
un altro ricercatore, hanqiu wang, ha aggiunto che questi modelli sono più comuni durante l’immissione di testo che durante la navigazione sul web o la visione di video. "durante attività come l'immissione di testo, le palpebre si verificano meno frequentemente a causa della maggiore concentrazione", spiega.
la seconda parte della ricerca utilizza calcoli geometrici per dedurre dove l'utente posiziona la tastiera nello spazio virtuale e le sue dimensioni.
"l'unico requisito è che finché otteniamo informazioni sufficienti sul movimento degli occhi e possiamo ripristinare accuratamente la tastiera, i successivi input chiave possono essere rilevati."
combinando questi due elementi, sono stati in grado di prevedere le sequenze di tasti che un utente potrebbe digitare. in una serie di test di laboratorio, anche se non conoscevano le abitudini di battitura dei testi delle vittime, la loro velocità o l'esatta posizione delle loro tastiere, i ricercatori sono riusciti afino a 5 ipotesimezzo:
di92.1%l'accuratezza della previsionelettere nei messaggi di testo;di77%l'accuratezza dell'ipotesilettere nella password;di73%l'accuratezza dell'ipotesicodice pin;di86.1%l'accuratezza dell'ipotesilettere in e-mail, url e pagine web。
l'attacco gazeploit è stato studiato in un ambiente di laboratorio e non è stato ancora implementato nel mondo reale contro gli utenti di persona. secondo i ricercatori,nell'uso reale, gli hacker possono sfruttare la fuga di dati per attaccare.
in teoria, un hacker potrebbe condividere un file con una vittima durante una chiamata zoom, che potrebbe quindi accedere a un account google o microsoft. a questo punto, l'aggressore può registrare la personalità della vittima e recuperare la password della vittima tramite un attacco gazeploit per accedere al proprio account.
i ricercatori di gazeploit hanno riferito i loro risultati ad apple in aprile e successivamente hanno inviato ad apple il codice di prova.
apple ha risolto questa vulnerabilità con un aggiornamento del software per vision pro alla fine di luglio. la misura concreta consisteva nel sospendere automaticamente la funzione persona quando l'utente utilizza la tastiera virtuale.
apple afferma che il problema è stato risolto in visionos 1.3. sebbene apple non abbia menzionato una soluzione per la vulnerabilità nelle sue note di aggiornamento del software, è dettagliata nella nota di sicurezza dell'azienda.
apple ha assegnato il difetto cve-2024-40865 e ha consigliato agli utenti vision pro di scaricare l'ultimo aggiornamento software.
poiché i dispositivi indossabili diventano più leggeri ed economici e acquisiscono sempre più dati biometrici personali, la questione della protezione della privacy degli utenti è diventata sempre più importante. i dati raccolti da questi dispositivi non riguardano solo informazioni sulla salute personale, ma possono anche includere informazioni sensibili come la posizione e le abitudini di attività. una volta divulgati o utilizzati in modo improprio, rappresenteranno una seria minaccia per la privacy personale.
"insieme aocchiali intelligenti, xr eorologio intelligenteman mano che i dispositivi indossabili diventano sempre più integrati nella vita quotidiana, le persone spesso non sono pienamente consapevoli della grande quantità di dati che questi dispositivi possono raccogliere sui loro comportamenti e preferenze, e dei rischi per la privacy e la sicurezza che ciò può comportare. "ha detto cheng zhang, assistente professore alla cornell university. il suo lavoro di ricerca prevede lo sviluppo di dispositivi indossabili per aiutare a interpretare il comportamento umano.
"questo documento dimostra chiaramente un rischio specifico legato alla digitazione visiva, ma è solo la punta dell'iceberg", ha affermato zhang. "sebbene queste tecnologie siano sviluppate per scopi positivi, dobbiamo anche essere consapevoli delle possibili implicazioni sulla privacy e sulla sicurezza. e iniziare ad adottare misure per ridurre i potenziali rischi che potrebbero derivare dai dispositivi indossabili in futuro”.
fonte: rivista wired
raccogli e organizza le informazioni sulle notizie più recenti e rendile accessibili gratuitamente a tutti.
posta[email protected]