GAZEploit: когда один лишь взгляд раскрывает хакерам все явки и пароли

В гарнитуре смешанной реальности Apple Vision Pro недавно была обнаружена уязвимость, позволяющая злоумышленникам считывать данные с виртуальной клавиатуры. Атака, получившая название GAZEploit, зарегистрирована как CVE-2024-40865, а её точный рейтинг по шкале CVSS пока не определён.

Основой для атаки стала возможность потенциального злоумышленника анализировать движения глаз пользователя через виртуальный аватар, который используется во время взаимодействия с устройством. Если недоброжелатель получает доступ к изображению аватара, он может определить, какие символы набираются на виртуальной клавиатуре, что открывает доступ для кражи конфиденциальных данных.

Компания Apple уже решила проблему в обновлении visionOS 1.3, выпущенном 29 июля 2024 года. Уязвимость была связана с компонентом под названием Presence, который отвечает за работу аватаров в системе. По информации Apple, проблема была решена путём временной приостановки работы аватара при вводе данных на виртуальной клавиатуре.

Атака стала возможной благодаря использованию обученной ИИ-модели, которая анализировала записи с аватаром, а также движения глаз пользователя, чтобы выявить моменты ввода данных на виртуальной клавиатуре. Далее алгоритм связывал направления взгляда с определёнными клавишами на клавиатуре, что и позволяло восстанавливать текст.

Исследователи подчеркнули, что GAZEploit является первой известной атакой такого рода, в которой используется информация о движениях глаз для дистанционного восстановления вводимых данных.

Данный случай демонстрирует, насколько важна безопасность в новых разработках и технологиях, где даже простой взгляд может стать инструментом для кибератак. Защита персональных данных в виртуальной реальности становится критически значимой задачей, и инцидент с GAZEploit подчёркивает необходимость оперативного устранения подобных угроз, чтобы пользователи могли чувствовать себя защищёнными в цифровых пространствах будущего.