minhas informações de contato
correspondênciaadmin@informação.bz
2024-09-14
한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina
zhidixi (conta pública: zhidxcom)
compilar |
editor | mo ying
a revista wired informou ontem que seis cientistas da computação encontraram um novo método de ataque contra o headset vision pro da apple mr e o chamaram de gazeploit. o método de ataque usa a tecnologia de rastreamento ocular do dispositivo para decifrar o que os usuários digitam no teclado virtual, incluindo senhas, pins e outras informações confidenciais.
o rastreamento ocular é um dos métodos de interação do usuário do vision pro. ao usar o vision pro, seus olhos são o mouse. ao digitar texto, você verá um teclado virtual móvel e redimensionável. ao localizar uma letra, toque com dois dedos para concluir a operação de entrada.
no entanto, é esta tecnologia avançada de rastreamento ocular que também pode ser uma fonte de vulnerabilidades de segurança. ao analisar os dados de rastreamento ocular dos usuários, os invasores podem decifrar o que os usuários digitam nos teclados virtuais e reproduzir senhas com sucesso,código pine outras informações confidenciais.
pesquisadores da gazeploit notificaram a apple sobre a vulnerabilidade em abril,maçã inc.um patch foi lançado no final de julho para corrigir o risco potencial de vazamento de dados.
no processo de uso do apple vision pro, os usuários provavelmente usarão o persona ao realizar transmissões ao vivo ou videoconferências.
persona é um avatar digital criado pela apple que permite aos usuários aparecer como avatar durante videochamadas.este recurso utiliza múltiplas câmeras e sensores no fone de ouvido para capturar varreduras faciais e dados de medição 3d do usuário para criar um avatar digital que se parece e se move como o usuário.
durante uma videochamada, a persona do usuário, incluindo cabeça, ombros e mãos, será exibida em uma caixa flutuante, trazendo uma experiência de comunicação mais natural.
"essas tecnologias... podem expor inadvertidamente os dados biométricos faciais de um usuário, incluindo dados de rastreamento ocular, durante uma videochamada. o avatar digital refletirá os movimentos oculares do usuário."os pesquisadores escreveram em um artigo pré-impresso detalhando suas descobertas.
segundo os pesquisadores, durante o ataque gazeploit, eles não obtiveram acesso ao vision pro, portanto não conseguiram ver a visão do usuário.
o ataque gazeploit depende apenas de dois recursos biométricos que podem ser extraídos de imagens de persona: eye aspect ratio e gaze estimation.
“saber para onde o usuário está olhando é uma habilidade muito poderosa”, disse alexandra papoutsaki, professora associada de ciência da computação no pomona college. ela estuda há muito tempo a tecnologia de rastreamento ocular e revisou a pesquisa do gazeploit para a revista wired.
o que chama a atenção neste estudo, de acordo com papoutsaki, é que ele se baseou exclusivamente nas transmissões de vídeo persona dos usuários.por outro lado, seria muito mais difícil para um hacker obter acesso ao vision pro e tentar explorar dados de rastreamento ocular.
“neste momento, os usuários correm o risco de expor suas ações simplesmente compartilhando sua personalidade por meio de streaming”, disse ela.
segundo o pesquisador zihao zhan,o ataque gazeploit é dividido em duas partes.
primeiro, os pesquisadores criaram uma forma de identificar se um usuário estava digitando texto enquanto usava o vision pro, analisando o avatar 3d compartilhado pelo usuário.
eles registraram o desempenho de 30 avatares em diversas tarefas de entrada de texto e usaram os dados para treinar uma rede neural recorrente (um modelo de aprendizado profundo).
de acordo com os pesquisadores, quando alguém usa o vision pro para entrada de texto, seus olhos se concentram na tecla que estão prestes a pressionar e depois passam rapidamente para a próxima tecla.
"quando inserimos texto, nossos movimentos oculares mostram alguns padrões regulares."
outro pesquisador, hanqiu wang, acrescentou que esses padrões são mais comuns durante a entrada de texto do que ao navegar na web ou assistir a vídeos. “durante tarefas como entrada de texto, o piscar ocorre com menos frequência devido à maior concentração”, explica.
a segunda parte da pesquisa utiliza cálculos geométricos para inferir onde o usuário posiciona o teclado no espaço virtual e seu tamanho.
“o único requisito é que, desde que obtenhamos informações suficientes sobre o movimento dos olhos e possamos restaurar o teclado com precisão, as entradas de teclas subsequentes possam ser detectadas”, explicou zhan.
ao combinar esses dois elementos, eles foram capazes de prever as teclas digitadas por um usuário. numa série de testes de laboratório, embora não conhecessem os hábitos de digitação das vítimas, a sua velocidade ou a localização exacta dos seus teclados, os investigadores conseguiramaté 5 palpitesmeio:
por92.1%a precisão da previsãoletras em mensagens de texto;por77%a precisão da adivinhaçãoletras na senha;por73%a precisão da adivinhaçãocódigo pin;por86.1%a precisão da adivinhaçãocartas em e-mails, urls e páginas da web。
o ataque gazeploit foi estudado em ambiente de laboratório e ainda não foi implementado no mundo real contra usuários do persona. segundo os pesquisadores,no uso real, os hackers podem usar o vazamento de dados para atacar.
em teoria, um hacker poderia compartilhar um arquivo com uma vítima durante uma chamada do zoom, que poderia então fazer login em uma conta do google ou microsoft. neste ponto, o invasor pode registrar a personalidade da vítima e recuperar a senha da vítima por meio de um ataque gazeploit para acessar sua conta.
os pesquisadores do gazeploit relataram suas descobertas à apple em abril e posteriormente enviaram o código de prova de conceito à apple.
a apple corrigiu essa vulnerabilidade em uma atualização de software do vision pro no final de julho. a medida específica foi suspender automaticamente a função persona quando o usuário usar o teclado virtual.
a apple diz que o problema foi resolvido no visionos 1.3. embora a apple não tenha mencionado uma correção para a vulnerabilidade em suas notas de atualização de software, ela está detalhada na nota de segurança da empresa.
a apple atribuiu a falha cve-2024-40865 e recomendou que os usuários do vision pro baixassem a atualização de software mais recente.
à medida que os dispositivos vestíveis se tornam mais leves e baratos e captam cada vez mais dados biométricos pessoais, a questão da proteção da privacidade do utilizador torna-se cada vez mais proeminente. os dados recolhidos por estes dispositivos não envolvem apenas informações pessoais de saúde, mas também podem incluir informações sensíveis, como localização e hábitos de atividade. uma vez vazados ou utilizados indevidamente, representarão uma séria ameaça à privacidade pessoal.
"juntamente comóculos inteligentes, xr erelógio inteligenteà medida que os dispositivos vestíveis se tornam cada vez mais integrados na vida quotidiana, as pessoas muitas vezes não estão plenamente conscientes das grandes quantidades de dados que estes dispositivos podem recolher sobre os seus comportamentos e preferências, e dos riscos de privacidade e segurança que isso pode trazer. "cheng zhang, professor assistente da universidade cornell, disse. seu trabalho de pesquisa envolve o desenvolvimento de dispositivos vestíveis para ajudar a interpretar o comportamento humano.
“este artigo demonstra claramente um risco específico com a digitação visual, mas é apenas a ponta do iceberg”, disse zhang. “embora essas tecnologias sejam desenvolvidas para fins positivos, também precisamos estar cientes das possíveis implicações de privacidade e segurança envolvidas. e começar a tomar medidas para reduzir os riscos potenciais que podem surgir de dispositivos vestíveis no futuro.”
fonte: revista wired
colete e organize as informações mais recentes e torne-as gratuitas para que todos possam verificar.
correspondênciaadmin@informação.bz