Pesquisadores de segurança criaram um exploit bem selvagem do Vision Pro. Chamado de GAZEploit, é um método de descobrir as senhas dos usuários do Vision Pro observando os movimentos dos olhos de seus avatares durante videochamadas.
Eles montaram um vídeo no YouTube (abaixo) para demonstrar como o rastreamento dos movimentos dos olhos do avatar detecta com precisão as teclas virtuais que o usuário do Vision Pro está olhando ao digitar…
Ao digitar no Vision Pro como um dispositivo autônomo, a unidade exibe um grande teclado virtual e usa rastreamento ocular para detectar qual tecla o usuário está olhando enquanto digita virtualmente.
O problema é que, se você estiver em uma videochamada, os olhos do seu avatar refletirão com precisão a direção dos seus olhos — e um invasor pode monitorar os movimentos dos olhos do avatar para descobrir as teclas que você está olhando enquanto digita.
Uma rede neural pode até mesmo funcionar quando você está digitando.
A estimativa do olhar revela um padrão notável:
- A direção do olhar tende a ser mais concentrada e exibe um padrão periódico durante a sessão de digitação.
- A frequência do piscar de olhos diminui durante as sessões de digitação
A rede neural recorrente (RNN) é adequada para tarefas que precisam reconhecer padrões em dados sequenciais.
A equipe analisou os movimentos oculares de 30 usuários do Vision Pro e conseguiu atingir taxas de precisão muito altas.
Durante a digitação com olhar, os olhares dos usuários mudam entre as teclas e se fixam na tecla a ser clicada, resultando em sacadas seguidas de fixações. Sacadas se referem ao período em que os usuários movem o olhar rapidamente de um objeto para outro. Fixações se referem ao período em que os usuários olham fixamente para um objeto.
Desenvolvemos um algoritmo que calcula a estabilidade do traço do olhar e definimos um limite para classificar fixações de sacadas. Usamos os pontos de estimativa do olhar nessas regiões de alta estabilidade como candidatos a clique. A avaliação em nosso conjunto de dados mostra precisão e taxa de recall de 85,9% e 96,8% na identificação de pressionamentos de tecla em sessões de digitação.
Além de detectar senhas, o GAZEploit também foi capaz de espionar mensagens e endereços de sites digitados por usuários do Vision Pro durante videochamadas.
Confira o vídeo de demonstração abaixo, com mais detalhes aqui.
Opinião do 9to5Mac
Esta é uma façanha imaginativa!
O problema surge porque os mesmos dados de rastreamento ocular são usados para a funcionalidade do teclado e para gerar a imagem do avatar. A Apple provavelmente poderia consertar isso adicionando um deslocamento relativamente pequeno e aleatório aos movimentos oculares do avatar.
Através de Com fio. Captura de quadro: GAZEploit.
FTC: Usamos links de afiliados automáticos para geração de renda. Mais.
