mi información de contacto
correo[email protected]
2024-09-14
한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina
zhidixi (cuenta pública: zhidxcom)
compilar |
editor |
la revista wired informó ayer que seis científicos informáticos encontraron un nuevo método de ataque contra los auriculares mr vision pro de apple y lo llamaron gazeploit. el método de ataque utiliza la tecnología de seguimiento ocular del dispositivo para descifrar lo que los usuarios ingresan en el teclado virtual, incluidas contraseñas, pin y otra información confidencial.
el seguimiento ocular es uno de los métodos de interacción del usuario de vision pro. cuando usas vision pro, tus ojos son tu mouse. al escribir texto, verá un teclado virtual móvil y de tamaño variable. cuando identifique una letra, toque con dos dedos para completar la operación de entrada.
sin embargo, es esta tecnología avanzada de seguimiento ocular la que también puede ser una fuente de vulnerabilidades de seguridad. al analizar los datos de seguimiento ocular de los usuarios, los atacantes pueden descifrar lo que los usuarios escriben en los teclados virtuales y reproducir con éxito las contraseñas.código piny otra información sensible.
los investigadores de gazeploit notificaron a apple sobre la vulnerabilidad en abril.manzana inc.a finales de julio se lanzó un parche para solucionar el riesgo potencial de fuga de datos.
en el proceso de uso de apple vision pro, es probable que los usuarios utilicen persona al realizar transmisiones en vivo o videoconferencias.
persona es un avatar digital creado por apple que permite a los usuarios aparecer como avatar durante las videollamadas.esta función utiliza múltiples cámaras y sensores en los auriculares para crear un avatar digital que se ve y se mueve como el usuario mediante la captura de escaneos faciales y datos de medición en 3d.
durante una videollamada, la personalidad del usuario, incluida la cabeza, los hombros y las manos, se mostrará en un cuadro flotante, brindando una experiencia de comunicación más natural.
"estas tecnologías... pueden exponer inadvertidamente los datos biométricos faciales de un usuario, incluidos los datos de seguimiento ocular, durante una videollamada. el avatar digital reflejará los movimientos oculares del usuario".los investigadores escribieron en un artículo preimpreso detallando sus hallazgos.
según los investigadores, durante el ataque gazeploit, no obtuvieron acceso a vision pro, por lo que no pudieron ver la vista del usuario.
el ataque gazeploit solo se basa en dos características biométricas que se pueden extraer del metraje de persona: relación de aspecto ocular y estimación de la mirada.
"saber hacia dónde mira el usuario es una habilidad muy poderosa", afirmó alexandra papoutsaki, profesora asociada de informática en pomona college. ha estudiado durante mucho tiempo la tecnología de seguimiento ocular y revisó la investigación de gazeploit para la revista wired.
lo sorprendente de este estudio, según papoutsaki, es que se basó únicamente en las transmisiones de vídeo de persona de los usuarios.por el contrario, sería mucho más difícil para un pirata informático obtener acceso a vision pro e intentar explotar los datos de seguimiento ocular.
"en este momento, los usuarios corren el riesgo de exponer sus acciones simplemente al compartir su personalidad a través del streaming", dijo.
según el investigador zihao zhan,el ataque gazeploit se divide en dos partes.
primero, los investigadores crearon una forma de identificar si un usuario estaba ingresando texto mientras usaba vision pro analizando el avatar 3d compartido por el usuario.
registraron el desempeño de 30 avatares en varias tareas de ingreso de texto y utilizaron los datos para entrenar una red neuronal recurrente (un modelo de aprendizaje profundo).
según los investigadores, cuando alguien usa vision pro para ingresar texto, sus ojos se enfocan en la tecla que está a punto de presionar y luego pasan rápidamente a la siguiente tecla.
"cuando ingresamos texto, nuestros movimientos oculares mostrarán algunos patrones regulares", dijo zhan.
otro investigador, hanqiu wang, agregó que estos patrones son más comunes al ingresar texto que al navegar por la web o mirar videos. "durante tareas como la introducción de texto, el parpadeo se produce con menos frecuencia debido a una mayor concentración", explica.
la segunda parte de la investigación utiliza cálculos geométricos para inferir dónde coloca el usuario el teclado en el espacio virtual y su tamaño.
"el único requisito es que, siempre que obtengamos suficiente información sobre el movimiento ocular y podamos restaurar con precisión el teclado, se puedan detectar las entradas de teclas posteriores", explicó zhan.
al combinar estos dos elementos, pudieron predecir las pulsaciones de teclas que podría escribir un usuario. en una serie de pruebas de laboratorio, aunque no conocían los hábitos de escritura de texto de las víctimas, su velocidad o la ubicación exacta de sus teclados, los investigadores pudieronhasta 5 conjeturasmedio:
por92.1%la precisión de predecirletras en mensajes de texto;por77%la precisión de adivinarletras en contraseña;por73%la precisión de adivinarcódigo pin;por86.1%la precisión de adivinarcartas en correos electrónicos, url y páginas web.。
el ataque gazeploit se estudió en un entorno de laboratorio y aún no se ha implementado en el mundo real contra los usuarios de persona. según los investigadores,en el uso real, los piratas informáticos pueden utilizar la fuga de datos para atacar.
en teoría, un pirata informático podría compartir un archivo con una víctima durante una llamada de zoom, quien luego podría iniciar sesión en una cuenta de google o microsoft. en este punto, el atacante puede registrar la personalidad de la víctima y recuperar la contraseña de la víctima mediante un ataque gazeploit para acceder a su cuenta.
los investigadores de gazeploit informaron sus hallazgos a apple en abril y posteriormente enviaron un código de prueba de concepto a apple.
apple solucionó esta vulnerabilidad en una actualización de software para vision pro a finales de julio. la medida específica fue suspender automáticamente la función persona cuando el usuario usa el teclado virtual.
apple dice que el problema se resolvió en visionos 1.3. si bien apple no mencionó una solución para la vulnerabilidad en sus notas de actualización de software, sí se detalla en la nota de seguridad de la compañía.
apple asignó la falla cve-2024-40865 y recomendó a los usuarios de vision pro descargar la última actualización de software.
a medida que los dispositivos portátiles se vuelven más livianos y baratos y capturan cada vez más datos biométricos personales, la cuestión de la protección de la privacidad del usuario se ha vuelto cada vez más prominente. los datos recopilados por estos dispositivos no solo involucran información de salud personal, sino que también pueden incluir información confidencial como ubicación y hábitos de actividad. una vez filtrados o utilizados indebidamente, representarán una grave amenaza a la privacidad personal.
"junto congafas inteligentes, xr yreloj inteligentea medida que los dispositivos portátiles se integran cada vez más en la vida diaria, las personas a menudo no son plenamente conscientes de la gran cantidad de datos que estos dispositivos pueden recopilar sobre sus comportamientos y preferencias, y los riesgos de privacidad y seguridad que esto puede conllevar. "dijo cheng zhang, profesor asistente de la universidad de cornell. su trabajo de investigación implica el desarrollo de dispositivos portátiles para ayudar a interpretar el comportamiento humano.
"este artículo demuestra claramente un riesgo específico al escribir con la mirada, pero es sólo la punta del iceberg", dijo zhang. "si bien estas tecnologías se desarrollan con fines positivos, también debemos ser conscientes de las posibles implicaciones de privacidad y seguridad involucradas. y comenzar a tomar medidas para reducir los riesgos potenciales que pueden surgir de los dispositivos portátiles en el futuro”.
fuente: revista cableada
recopile y organice la información de noticias más reciente y haga que todos puedan consultarla de forma gratuita.
correo[email protected]