новости

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

zhidixi (публичный аккаунт: zhidxcom)

компилировать |

редактор | мо ин

журнал wired вчера сообщил, что шесть ученых-компьютерщиков нашли новый метод атаки на mr-гарнитуру apple vision pro и назвали его gazeploit. метод атаки использует технологию отслеживания глаз устройства для расшифровки того, что пользователи вводят на виртуальной клавиатуре, включая пароли, pin-коды и другую конфиденциальную информацию.

отслеживание взгляда — это один из методов взаимодействия с пользователем vision pro. при использовании vision pro ваши глаза — это ваша мышь. при вводе текста вы увидите подвижную виртуальную клавиатуру с изменяемым размером. указав букву, коснитесь ее двумя пальцами, чтобы завершить операцию ввода.

однако именно эта передовая технология отслеживания глаз также может быть источником уязвимостей в системе безопасности. анализируя данные отслеживания глаз пользователей, злоумышленники могут расшифровать то, что пользователи набирают на виртуальных клавиатурах, и успешно воспроизвести пароли.пин-коди другую конфиденциальную информацию.

исследователи из gazeploit уведомили apple об уязвимости в апреле.apple inc.в конце июля был выпущен патч, устраняющий потенциальный риск утечки данных.

1. всего один видеозвонок может украсть вашу «тайну глаз»

в процессе использования apple vision pro пользователи, скорее всего, будут использовать persona при проведении прямых трансляций или видеоконференций.

persona — это цифровой аватар, созданный apple, который позволяет пользователям появляться в качестве аватара во время видеозвонков.эта функция использует несколько камер и датчиков в гарнитуре для создания цифрового аватара, который выглядит и движется как пользователь, путем захвата сканирований лица и данных 3d-измерений.

во время видеозвонка личность пользователя, включая голову, плечи и руки, будет отображаться в плавающем поле, что сделает общение более естественным.

«эти технологии... могут непреднамеренно раскрыть биометрические данные лица пользователя, включая данные отслеживания глаз, во время видеозвонка. цифровой аватар будет отражать движения глаз пользователя».исследователи написали в препринте свои выводы.

по словам исследователей, во время атаки gazeploit они не получили доступ к vision pro, поэтому не смогли увидеть мнение пользователя.

атака gazeploit опирается только на две биометрические характеристики, которые можно извлечь из видеозаписи persona: соотношение сторон глаза и оценку взгляда.

«знание того, куда смотрит пользователь, — это очень мощная способность», — сказала александра папуцаки, доцент кафедры информатики в колледже помона. она долгое время изучала технологию отслеживания взгляда и написала обзор исследования gazeploit для журнала wired.

по словам папуцаки, в этом исследовании поразительно то, что оно опиралось исключительно на видеопотоки пользователей persona.напротив, хакеру будет гораздо сложнее получить доступ к vision pro и попытаться использовать данные отслеживания глаз.

«прямо сейчас пользователи рискуют раскрыть свои действия, просто поделившись своей личностью в потоковом режиме», — сказала она.

2. вероятность успеха атаки составляет 73%-92%, и для правильного подбора пароля пользователя и pin-кода требуется всего 5 попыток.

по словам исследователя цзихао чжана,атака gazeploit разделена на две части.

во-первых, исследователи создали способ определить, вводит ли пользователь текст, надевая vision pro, путем анализа 3d-аватара, которым поделился пользователь.

они записали производительность 30 аватаров при выполнении различных задач по вводу текста и использовали данные для обучения рекуррентной нейронной сети (модель глубокого обучения).

по словам исследователей, когда кто-то использует vision pro для ввода текста, его глаза фокусируются на клавише, которую он собирается нажать, а затем быстро переходят к следующей клавише.

«когда мы вводим текст, наши движения глаз демонстрируют определенные закономерности», — сказал жан.

другой исследователь, ханьцю ван, добавил, что эти шаблоны чаще встречаются во время ввода текста, чем при просмотре веб-страниц или видео. «во время таких задач, как ввод текста, моргание происходит реже из-за большей концентрации», — объясняет он.

вторая часть исследования использует геометрические расчеты, чтобы определить, где пользователь размещает клавиатуру в виртуальном пространстве и ее размер.

«единственное требование состоит в том, что, пока мы получаем достаточно информации о движениях глаз и можем точно восстановить клавиатуру, последующие нажатия клавиш могут быть обнаружены».

объединив эти два элемента, они смогли предсказать нажатия клавиш, которые может набрать пользователь. в серии лабораторных тестов, хотя им не были известны привычки жертв набора текста, их скорость или точное расположение их клавиатур, исследователи смоглидо 5 предположенийсередина:

к92.1%точность прогнозированиябуквы в текстовых сообщениях;к77%точность угадываниябуквы в пароле;к73%точность угадыванияпин-код;к86.1%точность угадыванияписьма в электронных письмах, url-адресах и веб-страницах。

3. результаты исследования были переданы в apple, и apple объявила, что уязвимость устранена.

атака gazeploit изучалась в лабораторных условиях и еще не была реализована в реальном мире против пользователей persona. по мнению исследователей,в реальных условиях хакеры могут использовать утечку данных для атаки.

теоретически хакер может поделиться файлом с жертвой во время звонка в zoom, которая затем сможет войти в учетную запись google или microsoft. на этом этапе злоумышленник может записать личность жертвы и восстановить пароль жертвы с помощью атаки gazeploit для доступа к ее учетной записи.

исследователи gazeploit сообщили о своих выводах apple в апреле, а затем отправили в apple код для проверки концепции.

apple устранила эту уязвимость в обновлении программного обеспечения vision pro в конце июля. конкретной мерой была автоматическая приостановка функции persona, когда пользователь использует виртуальную клавиатуру.

apple заявляет, что проблема решена в visionos 1.3. хотя apple не упомянула исправление уязвимости в примечаниях к обновлению программного обеспечения, оно подробно описано в примечаниях по безопасности компании.

apple присвоила уязвимости cve-2024-40865 и рекомендовала пользователям vision pro загрузить последнее обновление программного обеспечения.

вывод: учитывая популярность носимых устройств, необходимо повышать осведомленность о конфиденциальности и безопасности.

поскольку носимые устройства становятся легче и дешевле, а также собирают все больше и больше личных биометрических данных, проблема защиты конфиденциальности пользователей становится все более актуальной. данные, собираемые этими устройствами, включают не только личную информацию о здоровье, но также могут включать конфиденциальную информацию, такую ​​​​как местоположение и привычки деятельности. в случае утечки или неправильного использования они представляют серьезную угрозу личной жизни.

"вместе сумные очки, xr иумные часыпоскольку носимые устройства все больше интегрируются в повседневную жизнь, люди часто не до конца осознают, какие огромные объемы данных эти устройства могут собирать об их поведении и предпочтениях, а также о рисках конфиденциальности и безопасности, которые это может нести. "об этом заявил чэн чжан, доцент корнелльского университета. его исследовательская работа связана с разработкой носимых устройств, помогающих интерпретировать поведение человека.

«эта статья ясно демонстрирует специфический риск, связанный с набором текста взглядом, но это лишь верхушка айсберга», — сказал чжан. «хотя эти технологии разработаны для позитивных целей, мы также должны осознавать возможные последствия для конфиденциальности и безопасности. и начать предпринимать шаги по снижению потенциальных рисков, которые могут возникнуть от носимых устройств в будущем».

источник: журнал wired.