2024-09-14
한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina
zhidixi(공개 계정: zhidxcom)
컴파일 |
편집자 | 모 잉
wired 매거진은 어제 6명의 컴퓨터 과학자들이 apple mr 헤드셋 vision pro에 대한 새로운 공격 방법을 발견하고 gazeploit이라는 이름을 붙였다고 보도했습니다. 공격 방법은 장치의 시선 추적 기술을 사용하여 비밀번호, pin 및 기타 민감한 정보를 포함하여 사용자가 가상 키보드에 입력하는 내용을 해독합니다.
시선 추적은 vision pro의 사용자 상호 작용 방법 중 하나입니다. vision pro를 사용하면 눈이 곧 마우스가 됩니다. 텍스트를 입력할 때 이동 및 크기 조정이 가능한 가상 키보드가 표시됩니다. 문자를 정확히 지정할 경우 두 손가락으로 탭하면 입력 작업이 완료됩니다.
그러나 이러한 첨단 시선 추적 기술은 보안 취약점의 원인이 될 수도 있습니다. 공격자는 사용자의 시선 추적 데이터를 분석하여 사용자가 가상 키보드에 입력하는 내용을 해독하고 비밀번호를 성공적으로 복제할 수 있습니다.핀코드기타 민감한 정보.
gazeploit의 연구원들은 지난 4월 apple에 취약점을 알렸습니다.애플 주식회사잠재적인 데이터 유출 위험을 수정하기 위해 7월 말에 패치가 출시되었습니다.
apple vision pro를 사용하는 과정에서 사용자는 라이브 방송이나 화상 회의를 진행할 때 페르소나를 사용할 가능성이 높습니다.
페르소나는 화상 통화 중에 사용자가 아바타로 나타날 수 있도록 apple에서 만든 디지털 아바타입니다.이 기능은 헤드셋의 여러 카메라와 센서를 활용하여 사용자의 얼굴 스캔과 3d 측정 데이터를 캡처하여 사용자처럼 보이고 움직이는 디지털 아바타를 만듭니다.
영상 통화 중에는 머리, 어깨, 손 등 사용자의 페르소나가 플로팅 박스에 표시되어 더욱 자연스러운 커뮤니케이션 경험을 제공합니다.
"이러한 기술은... 화상 통화 중에 시선 추적 데이터를 포함한 사용자의 얼굴 생체 인식 데이터를 부주의하게 노출할 수 있습니다. 디지털 아바타는 사용자의 눈 움직임을 반영합니다."연구자들은 자신들의 연구 결과를 자세히 설명하는 사전 인쇄 논문을 작성했습니다.
연구원들에 따르면 gazeploit 공격 당시 vision pro에 대한 접근 권한을 얻지 못해 사용자의 시야를 볼 수 없었습니다.
gazeploit 공격은 페르소나 영상에서 추출할 수 있는 두 가지 생체 인식 기능인 눈 종횡비(eye aspect ratio)와 시선 추정(gaze estimation)에만 의존합니다.
pomona college의 컴퓨터 과학 부교수인 alexandra papoutsaki는 "사용자가 어디를 보고 있는지 아는 것은 매우 강력한 능력입니다."라고 말했습니다. 그녀는 오랫동안 시선 추적 기술을 연구해 왔으며 wired 잡지에 gazeploit의 연구를 검토했습니다.
papoutsaki에 따르면 이 연구에서 놀라운 점은 사용자의 페르소나 비디오 스트림에만 의존했다는 것입니다.반면, 해커가 vision pro에 액세스하여 시선 추적 데이터를 악용하려고 시도하는 것은 훨씬 더 어렵습니다.
"현재 사용자는 단순히 스트리밍을 통해 자신의 페르소나를 공유함으로써 자신의 행동이 노출될 위험이 있습니다."라고 그녀는 말했습니다.
zihao zhan 연구원에 따르면,gazeploit 공격은 두 부분으로 나누어집니다.
먼저, 연구진은 사용자가 공유한 3d 아바타를 분석해 사용자가 vision pro를 착용한 상태에서 텍스트를 입력하고 있는지 여부를 식별할 수 있는 방법을 만들었습니다.
그들은 다양한 텍스트 입력 작업에서 30개의 아바타의 성능을 기록하고 이 데이터를 사용하여 순환 신경망(딥 러닝 모델)을 훈련했습니다.
연구원에 따르면 누군가 vision pro를 사용하여 텍스트를 입력하면 누르려는 키에 눈이 집중된 후 빠르게 다음 키로 이동합니다.
"우리가 텍스트를 입력할 때 우리의 눈 움직임은 일정한 패턴을 보일 것입니다."라고 zhan은 말했습니다.
또 다른 연구원인 hanqiu wang은 이러한 패턴이 웹을 탐색하거나 비디오를 볼 때보다 텍스트 입력 중에 더 흔하다고 덧붙였습니다. "텍스트 입력과 같은 작업 중에는 집중력이 높아지기 때문에 깜박임이 덜 자주 발생합니다"라고 그는 설명합니다.
연구의 두 번째 부분에서는 기하학적 계산을 사용하여 사용자가 가상 공간에서 키보드를 배치하는 위치와 크기를 추론합니다.
"유일한 요구 사항은 충분한 눈 움직임 정보를 얻고 키보드를 정확하게 복원할 수 있는 한 후속 키 입력을 감지할 수 있다는 것입니다."라고 zhan은 설명했습니다.
이 두 가지 요소를 결합함으로써 사용자가 입력할 수 있는 키 입력을 예측할 수 있었습니다. 일련의 실험실 테스트에서 연구원들은 피해자의 텍스트 입력 습관, 속도 또는 키보드의 정확한 위치를 알지 못했지만최대 5번 추측가운데:
~에 의해92.1%예측의 정확성문자 메시지의 문자;에 의해77%추측의 정확성비밀번호에 문자;에 의해73%추측의 정확성핀코드;에 의해86.1%추측의 정확성이메일, url, 웹페이지의 문자。
gazeploit 공격은 실험실 환경에서 연구되었으며 아직 페르소나 사용자를 대상으로 실제 세계에서 구현되지 않았습니다. 연구자들에 따르면,실제 사용 시 해커는 데이터 유출을 이용해 공격할 수 있습니다.
이론적으로 해커는 zoom 통화 중에 피해자에게 파일을 공유할 수 있으며, 피해자는 google 또는 microsoft 계정에 로그인할 수 있습니다. 이 시점에서 공격자는 gazeploit 공격을 통해 피해자의 페르소나를 기록하고 피해자의 비밀번호를 복구해 계정에 접근할 수 있다.
gazeploit 연구원들은 지난 4월에 연구 결과를 apple에 보고한 후 개념 증명 코드를 apple에 보냈습니다.
apple은 7월 말 vision pro용 소프트웨어 업데이트를 통해 이 취약점을 수정했습니다. 구체적인 조치는 사용자가 가상 키보드를 사용할 때 페르소나 기능을 자동으로 중단하는 것이었습니다.
apple은 visionos 1.3에서 이 문제가 해결되었다고 밝혔습니다. apple은 소프트웨어 업데이트 노트에서 취약점에 대한 수정 사항을 언급하지 않았지만 회사의 보안 노트에는 자세히 설명되어 있습니다.
apple은 결함 cve-2024-40865를 할당했으며 vision pro 사용자에게 최신 소프트웨어 업데이트를 다운로드할 것을 권장했습니다.
웨어러블 기기가 더 가벼워지고 저렴해지며 개인 생체 데이터를 점점 더 많이 수집함에 따라 사용자 개인 정보 보호 문제가 점점 더 부각되고 있습니다. 이러한 장치에 의해 수집된 데이터에는 개인 건강 정보뿐만 아니라 위치, 활동 습관 등 민감한 정보도 포함될 수 있습니다. 일단 유출되거나 오용되면 개인 정보 보호에 심각한 위협이 될 수 있습니다.
"와 함께스마트 안경, xr 및스마트 시계웨어러블 장치가 점점 일상 생활에 통합됨에 따라 사람들은 이러한 장치가 자신의 행동과 선호도에 대해 수집할 수 있는 방대한 양의 데이터와 이로 인해 발생할 수 있는 개인 정보 보호 및 보안 위험을 완전히 인식하지 못하는 경우가 많습니다. "코넬 대학교 조교수인 cheng zhang은 이렇게 말했습니다. 그의 연구 작업에는 인간 행동을 해석하는 데 도움이 되는 웨어러블 장치 개발이 포함됩니다.
zhang은 "이 문서는 시선 타이핑의 특정 위험을 명확하게 보여주지만 이는 빙산의 일각에 불과합니다. 이러한 기술은 긍정적인 목적으로 개발되었지만 관련된 개인 정보 보호 및 보안 영향도 인식해야 합니다. 향후 웨어러블 기기에서 발생할 수 있는 잠재적인 위험을 줄이기 위한 조치를 시작하세요.”
출처: 유선 매거진
