Apple a lansat un patch pentru Vision Pro după ce cercetătorii au demonstrat cum un atacator poate obține parolele tastate prin urmărirea privirii utilizatorilor spre tastele respective.
TL;DR:
- Apple a corectat o vulnerabilitate Vision Pro.
- Cercetătorii au arătat că se pot obține date tastate prin urmărirea mișcărilor ochilor.
- Patch-ul a fost inclus în visionOS 1.3.
- Apple a suspendat Persona în timpul folosirii tastaturii virtuale.
Vulnerabilitatea Vision Pro și cum a apărut
Apple a lansat un patch pentru Vision Pro, căștile de realitate mixtă, după ce cercetătorii de la Universitatea din Florida și Universitatea Texas Tech au arătat un atac numit GAZEploit. Acest atac poate fi folosit pentru a deduce ce tastează un utilizator observând mișcările ochilor avatarului lor, cunoscut ca Persona. Aceasta reprezintă utilizatorul în timpul apelurilor video, întâlnirilor și transmisiunilor live.
Cum funcționează atacul GAZEploit?
Cercetătorii au demonstrat că analiza mișcărilor ochilor avatarului poate ajuta la reconstruirea tastelor apăsate pe tastatura virtuală Vision Pro. Testele au fost realizate pe un set de date colectat de la 30 de persoane și s-au obținut rate ridicate de precizie și rechemare în identificarea tastelor apăsate.
Patch-ul Apple și soluțiile de protecție
Vulnerabilitatea identificată, cunoscută sub numele de CVE-2024-40865, a fost patch-uită în versiunea visionOS 1.3. Apple a abordat problema suspendând Persona când tastatura virtuală este activă, prevenind astfel expunerea datelor tastate prin urmărirea privirii.
Protejați-vă împotriva atacurilor similare
Pentru a vă proteja de atacuri similare, este important să actualizați regulat software-ul dispozitivelor dumneavoastră și să fiți conștienți de noile tipuri de vulnerabilități care pot apărea. Utilizarea de soluții de securitate robuste și monitorizarea constantă a activităților neobișnuite sunt esențiale în menținerea securității digitale.
Sursa articolului:
https://www.securityweek.com/apple-patches-vision-pro-vulnerability-to-prevent-gazeploit-attacks/