Un recente rapporto ha rivelato una vulnerabilità ormai risolta che ha colpito il visore a realtà mista Apple Vision Pro. Se sfruttata con successo, questa falla avrebbe permesso a malintenzionati di dedurre i dati inseriti sulla tastiera virtuale del dispositivo. L'attacco, denominato GAZEploit, è stato identificato come CVE-2024-40865. Un gruppo di accademici della University of Florida, del CertiK Skyfall Team e della Texas Tech University ha descritto l'attacco come un metodo per inferire le biometrie oculari dall'immagine dell'avatar per ricostruire il testo inserito tramite digitazione controllata dallo sguardo.

Apple ha affrontato la questione con la release del visionOS 1.3 il 29 luglio 2024, risolvendo la vulnerabilità in un componente denominato Presence. Secondo un avviso di sicurezza, "gli input alla tastiera virtuale possono essere dedotti da Persona", e il problema è stato risolto "sospendendo Persona quando la tastiera virtuale è attiva."

Gli studiosi hanno scoperto che era possibile analizzare i movimenti oculari di un avatar virtuale per determinare cosa l'utente stesse digitando sulla tastiera virtuale, compromettendo così la privacy. Potenzialmente, un attore di minacce potrebbe analizzare avatar virtuali condivisi tramite videochiamate, app di riunioni online o piattaforme di live streaming e dedurre a distanza le sequenze di tasti. Questo potrebbe essere sfruttato per estrarre informazioni sensibili come password.

L'attacco si basa su un modello di apprendimento supervisionato addestrato su registrazioni di Persona, rapporto d'aspetto degli occhi (EAR) e stima dello sguardo per distinguere tra sessioni di digitazione e altre attività VR (ad esempio, guardare film o giocare). Nel passo successivo, le direzioni di stima dello sguardo sulla tastiera virtuale sono mappate a tasti specifici per determinare le possibili sequenze di tasti considerando anche la posizione della tastiera nello spazio virtuale.

"Analizzando e catturando a distanza il video dell'avatar virtuale, un attaccante può ricostruire i tasti digitati," hanno dichiarato i ricercatori. "L'attacco GAZEploit è il primo noto attacco in questo dominio che sfrutta le informazioni di sguardo trapelate per eseguire a distanza l'inferenza delle sequenze di tasti."