苹果 Vision Pro 曝出严重漏洞，黑客可通过用户眼动输入窃取信息

主要观点总结

苹果公司 Vision Pro 混合现实头戴式设备存在安全漏洞，被命名为 GAZEploit，攻击者可借此推断用户在虚拟键盘上的输入。漏洞影响了 'Presence' 组件，涉及虚拟键盘激活时的用户输入推断问题。该攻击通过监督学习模型分析虚拟化身来执行远程按键推断，可能影响用户的隐私和安全性。

关键观点总结

关键观点1: 设备漏洞概述

苹果公司的 Vision Pro 头戴式设备存在名为 GAZEploit 的安全漏洞，黑客可以分析虚拟化身的眼球运动来推断用户在虚拟键盘上的输入内容。

关键观点2: 漏洞影响细节

该漏洞主要影响了一个名为 'Presence' 的组件，苹果公司在发布的 visionOS 1.3 中解决了这一问题。黑客可以通过远程捕捉和分析虚拟化身视频来重建用户键入的按键，从而获取敏感信息。

关键观点3: 攻击实现方式

攻击是通过监督学习模型来完成，通过分析虚拟化身的眼球运动、利用 Persona 记录、眼球长宽比（EAR）和眼球注视估计来执行远程按键推断。

关键观点4: 安全风险及影响

该漏洞的存在可能对用户的隐私和安全性构成威胁，尤其是在涉及敏感信息输入的情境中。同时强调了 GAZEploit 是该领域首个已知的攻击方式。

文章预览

近日，苹果公司的 Vision Pro 混合现实头戴式设备曝出一个安全漏洞，一旦被黑客成功利用，他们就可以推断出用户在该设备的虚拟键盘上输入的具体数据。 该攻击活动名为 GAZEploit，该漏洞被追踪为 CVE-2024-40865。 佛罗里达大学的学者对此表示：这是一种新颖的攻击，因为攻击者可以从头像图片中推断出与眼睛有关的生物特征，从而重建通过注视控制输入的文本。GAZEploit攻击利用了用户共享虚拟化身时凝视控制文本输入的固有漏洞。 在该漏洞披露后，苹果公司在 2024 年 7 月 29 日发布的 visionOS 1.3 中解决了这一问题。据苹果描述，该漏洞影响了一个名为 “Presence ”的组件。 该公司在一份安全公告中说：虚拟键盘的输入可能是从 Persona 中推断出来的，其主要通过 “在虚拟键盘激活时暂停 Persona ”来解决这个问题。 研究人员发现，黑客可以通过分析虚 ………………………………