Sono emersi dettagli su una falla di sicurezza (ora corretta) che ha un impatto sul visore per realtà virtuale e aumentata Vision Pro di Apple che, se sfruttata con successo, potrebbe consentire ad aggressori malintenzionati di dedurre i dati immessi sulla tastiera virtuale del dispositivo.
Un attacco che ha davvero dell’incredibile per le modalità, perché nasce letteralmente dagli occhi della vittima. Scopriamo di più leggendo questo articolo.
All’attacco, denominato GAZEploit, è stato assegnato l’identificativo CVE CVE-2024-40865.
“L’attacco GAZEploit sfrutta la vulnerabilità insita nell’immissione di testo controllata dallo sguardo quando gli utenti condividono un avatar virtuale“, ha affermato un gruppo di accademici dell’Università della Florida, del CertiK Skyfall Team e della Texas Tech University.
Dopo che è stato reso noto il bug, Apple ha affrontato il problema nell’aggiornamento visionOS 1.3 rilasciato il 29 luglio 2024. L’azienda di Cupertino ha descritto la vulnerabilità sostenendo che impatta su un componente chiamato Presence.
Falla relativa all’avatar presente nei Vision Pro
“Gli input sulla tastiera virtuale possono essere dedotti da Persona, l’avatar di Apple Vision Pro“, ha affermato in un avviso di sicurezza, aggiungendo di aver risolto il problema “sospendendo Persona quando la tastiera virtuale è attiva“.
Attacco seguendo i movimenti oculari
In poche parole, i ricercatori hanno scoperto che era possibile analizzare i movimenti oculari di un avatar virtuale (o “sguardo”) per determinare cosa l’utente che indossava il visore stava digitando sulla tastiera virtuale, compromettendo di fatto la sua privacy.
Di conseguenza, un autore di minacce potrebbe, ipoteticamente, analizzare gli avatar virtuali condivisi tramite videochiamate, app di riunioni online o piattaforme di streaming live ed eseguire da remoto l’attacco ipotizzando la pressione dei tasti.
Ciò potrebbe quindi essere sfruttato per estrarre informazioni sensibili come le password.
Come nasce un attacco simile?
L’attacco, a sua volta, viene eseguito tramite un modello di apprendimento supervisionato addestrato su registrazioni di Persona, rapporto di aspetto dell’occhio (EAR) e stima dello sguardo per distinguere tra sessioni di digitazione e altre attività correlate alla realtà virtuale (ad esempio, guardare film o giocare).
Nella fase successiva, le direzioni di stima dello sguardo sulla tastiera virtuale vengono mappate su tasti specifici per determinare le potenziali pressioni di tasti in modo tale da tenere conto anche della posizione della tastiera nello spazio virtuale.
“Catturando e analizzando da remoto il video dell’avatar virtuale, un aggressore può ricostruire i tasti premuti“, hanno affermato i ricercatori. “In particolare, l’attacco GAZEploit è il primo attacco noto in questo dominio che sfrutta le informazioni trapelate sullo sguardo per eseguire da remoto l’inferenza delle pressioni di tasti“.
Ti è piaciuto l’articolo? Contatta Noi Sicurezza per una consulenza di cyber security: