Die Lücke, genannt "GAZEploit", wurde entdeckt, als Vision Pro Nutzende virtuelle Persona-Avatare verwendeten – zum Beispiel während eines FaceTime-Anrufs. Die Forschenden analysierten die Augenbewegungen oder das „Gaze“ der Persona, um zu bestimmen, welche Tasten die Nutzenden auf der virtuellen Tastatur des Headsets drücken.
- Forschende entdecken Sicherheitslücke bei Apple Vision Pro.
- "GAZEploit"-Attacke erlaubt Rekonstruktion von Eingaben über Augenbewegung.
- Apple behebt die Schwachstelle mit visionOS 1.3 Update.
Auf einer eigens erstellten Webseite erläuterten die Forschenden die technische Seite der "GAZEploit"-Lücke. Sie erklärten, dass die Augen eines Menschen oft auf die nächste Taste fixieren, die sie drücken wollen. Dieses Verhalten offenbarte Muster, die es den Forschenden ermöglichten, die richtigen Buchstaben in Nachrichten zu 92 Prozent der Fälle innerhalb von fünf Versuchen und Passwörter in 77 Prozent der Fälle zu erkennen.
Die Gruppe informierte Apple über diese Schwachstelle im April. Apple reagierte und behob das Problem im Juli mit dem Update auf visionOS 1.3. Das Update deaktiviert die Persona-Avatare, wenn die virtuelle Tastatur der Vision Pro aktiv ist.
Am 5. September fügte Apple den folgenden Eintrag zu seinen visionOS 1.3 Sicherheitshinweisen hinzu:
Auswirkung: Eingaben auf der virtuellen Tastatur könnten durch die Persona ermittelt werden.
Beschreibung: Das Problem wurde durch Deaktivierung der Persona bei aktiver virtueller Tastatur behoben.
Laut Bericht wurde die Lücke nicht aktiv ausgenutzt. Dennoch sollten Vision Pro Nutzende sofort auf visionOS 1.3 oder eine spätere Version aktualisieren, um sicherzugehen, dass sie geschützt sind.
Das Konzept der "GAZEploit"-Lücke basiert auf der Analyse von Augenbewegungen, auch „Gaze“ genannt. Indem die Forschenden das „Gaze“-Verhalten von virtuellen Avataren beobachteten, konnten sie vorhersagen, welche Tasten die Nutzenden drücken würden. Dies ermöglichte ihnen, getippte Nachrichten und sogar Passwörter zu rekonstruieren.
Diskutiere mit!
Hier kannst du den Artikel "Sicherheitslücke bei Apple Vision Pro geschlossen: Virtuelle Persona konnte Eingaben verraten" kommentieren. Melde dich einfach mit deinem maclife.de-Account an oder fülle die unten stehenden Felder aus.
Die Kommentare für diesen Artikel sind geschlossen.