Pesquisadores identificaram uma nova vulnerabilidade no Apple Vision Pro, a qual pode expor informações sensíveis dos usuários (como senhas e PINs) por meio da tecnologia de rastreamento ocular.
Chamado de GAZEploit, o ataque usa dados da referida tecnologia do headset para decifrar o que os usuários digitam no teclado virtual. Ele foi descoberto por cientistas da computação das universidades da Flórida e Texas Tech, além da equipe CertiK Skyfall.
Na prática, eles mostraram que, analisando os movimentos oculares dos avatares virtuais (Personas) do Vision Pro em algumas plataformas — como Zoom, FaceTime, Teams e Slack —, era possível reconstruir com precisão o que os usuários digitavam.
O ataque, obviamente, não envolvia acesso direto ao Apple Vision Pro; em vez disso, ele dependia da análise dos movimentos oculares capturados pelas Personas do dispositivo durante as interações virtuais.
Usando um modelo de aprendizado de máquina chamado rede neural recorrente (recurrent neural network, ou RNN), os pesquisadores treinaram o sistema com gravações de 30 avatares realizando diversas tarefas de digitação.
Assim, foi identificado que os movimentos oculares ao digitar no teclado virtual formavam padrões distintos que o RNN conseguia decodificar. O ataque acertou letras em mensagens cerca de 92% das vezes, senhas em cerca de 77% e PINs em aproximadamente 73% das vezes, dentro de até 5 tentativas.
O estudo aponta que a Apple foi notificada da vulnerabilidade em abril passado e lançou um patch de segurança com o visionOS 1.3, em julho passado, para corrigir o problema. A atualização bloqueia o compartilhamento de avatares virtuais durante a digitação no teclado virtual do Vision Pro, minimizando o risco de vazamento de dados.
Um porta-voz da companhia confirmou que a vulnerabilidade, registrada como CVE-2024-40865, foi corrigida — embora detalhes específicos não tenham sido divulgados nas notas da atualização de software.
Para se proteger contra riscos potenciais como o GAZEploit, os donos do Apple Vision Pro são aconselhados a manterem seus dispositivos atualizados. Além disso, devem evitar usar o rastreamento ocular para inserir informações sensíveis e desativar o eye-tracking quando possível. É recomendado usar teclados físicos ou outros métodos para tarefas que envolvam dados privados.
NOTA DE TRANSPARÊNCIA: O MacMagazine recebe uma pequena comissão sobre vendas concluídas por meio de links deste post, mas você, como consumidor, não paga nada mais pelos produtos comprando pelos nossos links de afiliado.
via WIRED
