Технология отслеживания глаз Apple Vision Pro предлагает новый способ взаимодействия с набором текста, но хакеры уже используют ее для кражи конфиденциальной информации. Вот что вам нужно знать, чтобы защитить свои данные.
Новые технологии всегда несут с собой новые уязвимости. Одна из таких уязвимостей, GAZEploit, подвергает пользователей потенциальным нарушениям конфиденциальности во время звонков FaceTime на Apple Vision Pro.
GAZEploit, разработанный исследователями из Университета Флориды, команды CertiK Skyfall и Техасского технологического университета, использует данные отслеживания взгляда в виртуальной реальности, чтобы угадывать, что печатает пользователь.
Когда пользователи надевают устройство виртуальной или смешанной реальности, например Apple Vision Pro, они могут печатать, глядя на клавиши на виртуальной клавиатуре. Вместо нажатия физических кнопок устройство отслеживает движения глаз, чтобы определить выбранные буквы или цифры.
Обзор атаки
GAZEploit — это виртуальная клавиатура, где на помощь приходит GAZEploit. Она анализирует данные движений глаз и угадывает, что печатает пользователь.
GAZEploit работает, записывая движения глаз виртуального аватара пользователя. Он фокусируется на соотношении сторон глаз (EAR), которое измеряет, насколько широко открыты глаза человека, и оценке взгляда глаз, которая отслеживает, куда именно он смотрит на экране.
Анализируя эти факторы, хакеры могут определить, когда пользователь печатает, и даже указать конкретные клавиши, которые он нажимает.
Когда пользователи печатают в VR, их глаза двигаются определенным образом и моргают реже. GAZEploit обнаруживает это и использует программу машинного обучения, называемую рекуррентной нейронной сетью (RNN), для анализа этих моделей глаз.
Исследователи обучили RNN с помощью данных 30 разных людей и добились того, что она стала точно определять сеансы набора текста в 98% случаев.
Угадывание правильных нажатий клавиш
После идентификации сеанса печати GAZEploit предсказывает нажатия клавиш, анализируя быстрые движения глаз, называемые саккадами, за которыми следуют паузы или фиксации, когда глаза останавливаются на клавише. Атака сопоставляет эти движения глаз с раскладкой виртуальной клавиатуры, вычисляя набираемые буквы или цифры.
GAZEploit может точно идентифицировать выбранные клавиши, вычисляя стабильность взгляда во время фиксаций. В своих тестах исследователи сообщили о 85,9% точности в предсказании отдельных нажатий клавиш и почти идеальном 96,8% отзыве при распознавании активности печати.
Поскольку атака может быть осуществлена удаленно, злоумышленникам нужен только доступ к видеозаписи аватара, чтобы проанализировать движения глаз и сделать вывод о том, что именно печатается.
Удаленный доступ означает, что даже в повседневных ситуациях, таких как виртуальные встречи, видеозвонки или прямые трансляции, личная информация, такая как пароли или конфиденциальные сообщения, может быть скомпрометирована без ведома пользователя.
Как защитить себя от Gazeploit
Чтобы защититься от потенциальных атак, подобных GAZEploit, пользователи должны принять ряд мер предосторожности. Во-первых, им следует избегать ввода конфиденциальной информации, такой как пароли или личные данные, с использованием методов отслеживания глаз в средах виртуальной реальности (VR).
Вместо этого безопаснее использовать физические клавиатуры или другие безопасные методы ввода. Также важно обновлять программное обеспечение, поскольку Apple часто выпускает исправления безопасности для устранения уязвимостей.
Наконец, настройка параметров конфиденциальности на устройствах виртуальной и смешанной реальности с целью ограничения или отключения отслеживания взгляда, когда в этом нет необходимости, может еще больше снизить подверженность рискам.