近期,国际媒体曝光,一支由六位电脑专家组成的队伍揭露了Apple Vision Pro的隐蔽安全缝隙,该缝隙使得攻击者得以重现用户在设备上的输入数据,涵盖了密码、PIN码以及通信内容。
该发现主要针对Vision Pro的virtualOS虚拟键盘功能。在用户借助虚拟Persona(定制形象)进行FaceTime通话等活动时,研究者通过解析Persona的眼球轨迹,成功推断了用户在头戴式设备的虚拟键盘上的输入详情。他们为这一缝隙打造了一个网站,详尽阐释了“GAZEploit”攻击的运作机制。
概括来说,研究人员指出,用户在输入过程中,目光通常会聚焦于即将点击的键上,这种注视习惯透露出一些常见的输入模式。据此,他们宣称能够在五次尝试内,以92%的准确率推断出用户输入的消息,密码的准确率也高达77%。
据悉,研究团队在4月向苹果公司透露了这一缝隙,苹果随即在7月发布的visionOS 1.3版本中对此进行了修复。新版本通过在虚拟键盘激活时暂停Persona功能,来抵御此类攻击。
在9月发布的visionOS 1.3安全更新说明中,苹果增加了以下内容:
更新内容:
影响设备:Apple Vision Pro
影响范围:虚拟键盘输入可能被Persona推测
解决方案:通过在虚拟键盘激活时暂停Persona功能来解决问题
尽管这一概念验证攻击在现实世界尚未被利用,Vision Pro用户仍应迅速升级至visionOS 1.3或更高版本,以保障个人信息安全。
关键字:苹果Vision Pro
