Apple Vision Pro, gli occhi dell'avatar Persona possono rivelare quello che si digita sulla tastiera virtuale

Apple Vision Pro, gli occhi dell'avatar Persona possono rivelare quello che si digita sulla tastiera virtuale

Un gruppo di ricercatori è riuscito, in modo abbastanza ingegnoso, a sfruttare il sistema di tracciamento oculare di Vision Pro per risalire a quanto digitato dall'utente sulla tastiera virtuale, senza la necessità di accedere fisicamente al visore

di pubblicata il , alle 10:21 nel canale Sicurezza
AppleVision Pro
 

Un gruppo di ricercatori informatici ha reso nota una vulnerabilità potenzialmente pericolosa nel visore Vision Pro di Apple che consente di riconoscere ciò che gli utenti digitano sulla tastiera virtuale del dispositivo analizzando i movimenti oculari dell'avatar tridimensionale, con il rischio di rivelare informazioni sensibili, dati personali e password.

L'attacco, denominato GAZEploit, sfrutta i dati di eye-tracking del dispositivo: i ricercatori sono stati capaci di ricostruire con particolare accuratezza password, PIN e messaggi digitati dagli utenti, analizzando semplicemente i movimenti oculari di "Persona", l'avatar ricreato da Vision Pro sulla base delle fattezze dell'utente e che può essere utilizzato in diverse applicazioni di videocomunicazione.

Non è nemmeno stato necessario accedere fisicamente a Vision Pro, in quanto i ricercatori hanno osservato e analizzato da remoto i movimenti oculari dell'avatar, dimostrando in questo modo come anche qualcosa di apparentemente innocuo possa essere sfruttato per raccogliere informazioni in grado di mettere a rischio la privacy e la sicurezza degli utenti.

GAZEploit è un proof-of-concept che prevede due fasi: la prima consiste nell'identificare quando un utente sta digitando sulla tastiera virtuale di Vision Pro, analizzando l'avatar Persona. In questo caso i ricercatori hanno addestrato una rete neurale utilizzando le registrazioni di avatar di 30 individui intenti nelle operazioni di digitazione virtuale. Il principio alla base è che nel momento in cui un utente sta digitando su una tastiera virtuale di fatto va a "rincorrere" con gli occhi i tasti da "premere", a differenza di quanto può avvenire con una tastiera fisica dove anni di digitazione hanno allenato la memoria muscolare permettendo di riuscire a scrivere senza osservare la tastiera. Gli occhi quindi si muovono seguendo schemi regolari, che si distinguono in maniera netta dai movimenti molto più irregolari che gli occhi compiono quando stanno osservando una pagina web o un video. 

Una volta che è stato possibile determinare che l'utente sta effettivamente digitando qualcosa, si apre la seconda fase dell'attacco che è quella del riconoscimento vero e proprio. I ricercatori hanno adottato un approccio particolarmente ingegnoso, in quanto sono riusciti a sfruttare i movimenti oculari per determinare dapprima la posizione e le dimensioni della tastiera virtuale, e poi operando un diverso tipo di analisi del movimento degli occhi, volta a individuare i tasti premuti virtualmente dall'utente.

Il metodo ideato dai ricercatori ha saputo mostrare un'accuratezza piuttosto elevata, soprattutto considerando che, come detto, non è stato compiuto alcun accesso fisico al dispositivo ne' osservato in prima persona l'utente e che, inoltre, in ogni prova condotta non era conosciuta a priori la posizione della tastiera e nemmeno le abitudini di digitazione della vittima. In un massimo di cinque tentativi i ricercatori sono riusciti a riconoscere correttamente le lettere digitate con un'accuratezza del 92,1% per i messaggi, del 77% per le password, del 73% per i PIN e dell'86,1% per e-mail, URL e pagine web. A seconda del tipo di informazione il primo tentativo di riconoscimento ha mostrato un'accuratezza variabile tra il 35% e il 59%.

Come abbiamo già detto, si tratta di un attacco sviluppato e testato solamente in ambiente controllato, ma i ricercatori sottolineano come una vulnerabilità di questo tipo possa essere sfruttata anche nella realtà da criminali e hacker magari inducendo la vittima designata ad effettuare l'accesso ad un account durante una videochiamata e registrare i movimenti oculari dell'avatar Persona per utilizzare successivamente GAZEploit.

Il gruppo di ricercatori ha adottato le procedure di divulgazione responsabile segnalando quanto scoperto ad Apple lo scorso mese di aprile, condividendo inoltre con la Mela anche il proof-of-concept per consentire di replicare l'attacco. Apple ha rilasciato alla fine del mese di luglio l'aggiornamento VisionOS 1.3 che contiene una patch per risolvere il problema, facendo sì che la condivisione dell'avatar Persona venga interrotta quando l'utente usa la tastiera virtuale. La vulnerabilità è inoltre stata contrassegnata da Apple con il codice CVE-2024-40865.

5 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Mars9513 Settembre 2024, 11:09 #1
La cosa degli occhi sul davanti mi è sempre sembrata una boiata.
*Pegasus-DVD*13 Settembre 2024, 12:09 #2
ma figurati se uno che scrive con la tastiera si mette a guardare tutti i singoli tasti che preme. roba de matt.
Mars9513 Settembre 2024, 12:25 #3
Originariamente inviato da: *Pegasus-DVD*
ma figurati se uno che scrive con la tastiera si mette a guardare tutti i singoli tasti che preme. roba de matt.


Come fai altrimenti a scrivere su una tastiera virtuale?
Non hai un oggetto fisico che ti consente di renderti conto dove stai mettendo il dito rispetto alla tastiera.
È persino peggio degli schermi touch dove almeno ai i bordi come riferimento.
*Pegasus-DVD*13 Settembre 2024, 13:23 #4
io scrivo nella tastiera virtuale piu o meno senza guardare


se intendete quella dove devi guardare i tasti per premerli allora ok, non c'è altro modo.
Mars9513 Settembre 2024, 14:05 #5
Originariamente inviato da: *Pegasus-DVD*
io scrivo nella tastiera virtuale piu o meno senza guardare


se intendete quella dove devi guardare i tasti per premerli allora ok, non c'è altro modo.


Se non al guardi che punti di riferimento hai per sapere cosa stai premendo?

Quella del Vision Pro non so nel dettaglio se bisogna guardarla, io ho il Quest 3 e le poche volte che uso la tastiera è per mettere delle password o cercare qualcosa

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^