Technologie sledování očí Apple Vision Pro nabízí nový způsob interakce s psaním, ale hackeři ji již využívají k odcizení citlivých informací. Zde je to, co potřebujete vědět, abyste chránili svá data.
Nové technologie vždy přicházejí s novými zranitelnostmi. Jedna taková zranitelnost, GAZEploit, vystavuje uživatele potenciálnímu narušení soukromí při FaceTime hovorech Apple Vision Pro.
GAZEploit, vyvinutý výzkumníky z Floridské univerzity, CertiK Skyfall Team a Texas Tech University, využívá data sledování očí ve virtuální realitě k uhádnutí toho, co uživatel píše.
Když si uživatelé nasadí zařízení pro virtuální nebo smíšenou realitu, jako je Apple Vision Pro, mohou psát pomocí kláves na virtuální klávesnici. Namísto mačkání fyzických tlačítek zařízení sleduje pohyby očí a určuje vybraná písmena nebo čísla.
Virtuální klávesnice je místo, kde přichází GAZEploit. Analyzuje data z pohybů očí a odhaduje, co uživatel píše.
GAZEploit funguje tak, že zaznamenává pohyby očí virtuálního avatara uživatele. Zaměřuje se na poměr stran očí (EAR), který měří, jak široce má člověk otevřené oči, a odhad pohledu očí, který přesně sleduje, kam se na obrazovce dívá.
Analýzou těchto faktorů mohou hackeři určit, kdy uživatel píše, a dokonce určit konkrétní klíče, které vybírají.
Když uživatelé zadávají VR, jejich oči se pohybují určitým způsobem a méně často mrkají. GAZEploit to detekuje a používá program strojového učení nazývaný rekurentní neuronová síť (RNN) k analýze těchto očních vzorců.
Výzkumníci trénovali RNN s daty od 30 různých lidí a dostali je, aby přesně identifikovali relace psaní v 98 % případů.
Hádání správných stisků kláves
Jakmile je identifikována relace psaní, GAZEploit předpovídá úhozy pomocí analýzy rychlých pohybů očí, nazývaných sakády, po nichž následují pauzy nebo fixace, když oči dosedají na klávesu. Útok přizpůsobí tyto pohyby očí rozvržení virtuální klávesnice a zjistí, která písmena nebo čísla jsou zadávána.
GAZEploit dokáže přesně identifikovat vybrané klíče výpočtem stability pohledu během fixací. Ve svých testech výzkumníci uvedli 85,9% přesnost v předpovídání jednotlivých úhozů a téměř dokonalou 96,8% vybavitelnost při rozpoznávání činnosti psaní.
Vzhledem k tomu, že útok lze provést na dálku, útočníci potřebují pouze přístup k videozáznamu avatara, aby mohli analyzovat pohyby očí a odvodit, co se píše.
Vzdálený přístup znamená, že i v každodenních situacích, jako jsou virtuální schůzky, videohovory nebo živé vysílání, mohou být osobní údaje, jako jsou hesla nebo citlivé zprávy, prozrazeny bez vědomí uživatele.
Jak se chránit před Gazeploitem
K ochraně před potenciálními útoky, jako je GAZEploit, by uživatelé měli přijmout několik opatření. Za prvé by se měli vyvarovat zadávání citlivých informací, jako jsou hesla nebo osobní údaje, pomocí metod sledování očí v prostředí virtuální reality (VR).
Místo toho je bezpečnější používat fyzické klávesnice nebo jiné metody zabezpečeného zadávání. Udržování aktualizovaného softwaru je také zásadní, protože Apple často vydává bezpečnostní záplaty, které opravují zranitelnosti.
A konečně, úprava nastavení soukromí na zařízeních VR/MR tak, aby se omezilo nebo zakázalo sledování očí, když to není potřeba, může dále snížit vystavení rizikům.
Zdroj: appleinsider.com