編譯/VR陀螺

據(jù)《連線》雜志消息，今年六位計算機科學(xué)家發(fā)現(xiàn)了一個與Apple Vision Pro相關(guān)的安全漏洞，該漏洞允許他們重建用戶輸入的信息，包括密碼、PIN碼和消息。

visionOS 虛擬鍵盤

當(dāng)Apple Vision Pro用戶使用虛擬Persona時（例如在FaceTime通話期間），研究人員可以通過分析Persona的眼睛移動或“注視”來確定用戶在頭顯虛擬鍵盤上輸入的內(nèi)容。研究人員創(chuàng)建了一個網(wǎng)站，詳細介紹了所謂的“GAZEploit”漏洞的技術(shù)細節(jié)。

簡而言之，研究人員指出，用戶在準備按下下一個鍵時，通常會將目光集中在相應(yīng)的鍵上，這會暴露出一些常見的模式。他們聲稱能夠以高達92%的準確率在五次猜測內(nèi)確定用戶輸入的消息內(nèi)容，而密碼的準確率也達到了77%。

Persona 視覺漏洞

據(jù)報道，研究人員在今年4月向蘋果披露了這一漏洞，該公司在7月發(fā)布的visionOS 1.3更新中修復(fù)了這個問題。此次更新在虛擬鍵盤激活時暫停了Persona的功能。

蘋果在其visionOS 1.3的安全說明中于9月5日添加了如下條目：

• 可用性：Apple Vision Pro
• 影響：虛擬鍵盤的輸入可能被Persona推斷出來
• 描述：通過在虛擬鍵盤激活時暫停Persona解決了該問題

CVE-2024-40865：

• 佛羅里達大學(xué)的Hanqiu Wang
• 德州理工大學(xué)的Zihao Zhan
• Certik的Haoqi Shan
• 佛羅里達大學(xué)的Siqi Dai
• 佛羅里達大學(xué)的Max Panoff
• 佛羅里達大學(xué)的Shuo Wang

據(jù)報告稱，這一概念驗證攻擊尚未在被非法利用。盡管如此，鑒于研究結(jié)果已經(jīng)公開，Vision Pro用戶應(yīng)立即更新頭顯至visionOS 1.3或更高版本以確保安全。

來源：macrumors