Vulnerabilidad de Apple Vision Pro expuso las entradas del teclado virtual a los hackers

Han salido a la luz detalles sobre una vulnerabilidad de seguridad, que ya ha sido corregida, en el casco de realidad mixta Vision Pro de Apple. Si esta vulnerabilidad se explotara con éxito, los atacantes maliciosos podrían deducir los datos ingresados en el teclado virtual del dispositivo.

El ataque, conocido como GAZEploit, ha recibido el identificador CVE-2024-40865.

«Es un ataque innovador que puede deducir datos biométricos relacionados con los ojos a partir de la imagen del avatar y reconstruir el texto ingresado mediante escritura controlada por la mirada», afirmaron un grupo de investigadores de la Universidad de Florida.

«El ataque GAZEploit aprovecha la vulnerabilidad que existe en la entrada de texto controlada por la mirada cuando los usuarios comparten un avatar virtual».

Tras una divulgación responsable, Apple solucionó el problema en la versión 1.3 de visionOS, lanzada el 29 de julio de 2024. Describieron la falla como una que afectaba un componente llamado Presence.

«Los datos ingresados en el teclado virtual pueden inferirse a partir de Persona», explicó Apple en un comunicado de seguridad, añadiendo que resolvieron el problema «suspendiendo Persona cuando el teclado virtual está activo».

En resumen, los investigadores determinaron que era posible analizar los movimientos oculares (o «mirada») del avatar virtual para identificar lo que el usuario estaba escribiendo en el teclado virtual, lo que podría comprometer su privacidad.

Como consecuencia, un atacante podría potencialmente analizar avatares virtuales compartidos en videollamadas, aplicaciones de reuniones en línea o plataformas de transmisión en vivo, y deducir de manera remota las pulsaciones de teclas. Esto podría aprovecharse para obtener información sensible, como contraseñas.

El ataque se ejecuta mediante un modelo de aprendizaje supervisado entrenado con grabaciones de Persona, el ratio de aspecto ocular (EAR), y la estimación de la mirada para distinguir entre sesiones de escritura y otras actividades en realidad virtual, como ver películas o jugar.

En el siguiente paso, las direcciones estimadas de la mirada en el teclado virtual se asignan a teclas específicas, permitiendo inferir las pulsaciones, tomando en cuenta la ubicación del teclado en el espacio virtual.

«Al capturar y analizar remotamente el video del avatar virtual, un atacante podría reconstruir las teclas presionadas. Es importante destacar que el ataque GAZEploit es el primero de su tipo que aprovecha la información ocular filtrada para deducir pulsaciones de teclas de manera remota», explicaron los investigadores.

Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 646180224401848086 Nombre: Masterhacks LATAM Banco: STP

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/HcazyklpyeU4X3BF657KFQ
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *