Vulnerabilidad en Apple Vision Pro expuso las entradas del teclado virtual

Iniciado por AXCESS, Septiembre 14, 2024, 04:57:32 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Han surgido detalles sobre una falla de seguridad que ya ha sido corregida y que afecta al casco de realidad mixta Vision Pro de Apple y que, si se explota con éxito, podría permitir a atacantes maliciosos inferir datos ingresados en el teclado virtual del dispositivo.

El ataque, denominado GAZEploit, ha recibido el identificador CVE CVE-2024-40865.

"Un ataque novedoso que puede inferir datos biométricos relacionados con los ojos a partir de la imagen del avatar para reconstruir el texto ingresado mediante la escritura controlada por la mirada", dijo un grupo de académicos de la Universidad de Florida, CertiK Skyfall Team y la Universidad Tecnológica de Texas.

"El ataque GAZEploit aprovecha la vulnerabilidad inherente a la entrada de texto controlada por la mirada cuando los usuarios comparten un avatar virtual".

Tras una divulgación responsable, Apple abordó el problema en visionOS 1.3, lanzado el 29 de julio de 2024. Describió la vulnerabilidad como un componente llamado Presence.



"Las entradas del teclado virtual pueden inferirse desde Persona", dijo en un aviso de seguridad, y agregó que resolvió el problema "suspendiendo Persona cuando el teclado virtual está activo".

En pocas palabras, los investigadores descubrieron que era posible analizar los movimientos oculares (o "mirada") de un avatar virtual para determinar lo que el usuario que usaba los auriculares estaba escribiendo en el teclado virtual, comprometiendo efectivamente su privacidad.

Como resultado, un actor de amenazas podría, hipotéticamente, analizar avatares virtuales compartidos a través de videollamadas, aplicaciones de reuniones en línea o plataformas de transmisión en vivo y realizar de forma remota una inferencia de pulsaciones de teclas. Esto podría luego explotarse para extraer información confidencial, como contraseñas.

El ataque, a su vez, se lleva a cabo mediante un modelo de aprendizaje supervisado entrenado con grabaciones de Persona, relación de aspecto ocular (EAR) y estimación de la mirada para diferenciar entre sesiones de mecanografía y otras actividades relacionadas con la realidad virtual (por ejemplo, ver películas o jugar).

En el paso siguiente, las direcciones de estimación de la mirada en el teclado virtual se asignan a teclas específicas para determinar las posibles pulsaciones de teclas de manera que también se tenga en cuenta la ubicación del teclado en el espacio virtual.

"Al capturar y analizar de forma remota el video del avatar virtual, un atacante puede reconstruir las teclas tecleadas", dijeron los investigadores. "Cabe destacar que el ataque GAZEploit es el primer ataque conocido en este dominio que explota la información filtrada de la mirada para realizar de forma remota la inferencia de las pulsaciones de teclas".

Fuente:
The Hackers News
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta