Sicherheitslücke bei Apple Vision Pro geschlossen: Virtuelle Persona konnte Eingaben verraten

Die Lücke, genannt "GAZEploit", wurde entdeckt, als Vision Pro Nutzende virtuelle Persona-Avatare verwendeten – zum Beispiel während eines FaceTime-Anrufs. Die Forschenden analysierten die Augenbewegungen oder das „Gaze“ der Persona, um zu bestimmen, welche Tasten die Nutzenden auf der virtuellen Tastatur des Headsets drücken.

Auf einer eigens erstellten Webseite erläuterten die Forschenden die technische Seite der "GAZEploit"-Lücke. Sie erklärten, dass die Augen eines Menschen oft auf die nächste Taste fixieren, die sie drücken wollen. Dieses Verhalten offenbarte Muster, die es den Forschenden ermöglichten, die richtigen Buchstaben in Nachrichten zu 92 Prozent der Fälle innerhalb von fünf Versuchen und Passwörter in 77 Prozent der Fälle zu erkennen.

Die Gruppe informierte Apple über diese Schwachstelle im April. Apple reagierte und behob das Problem im Juli mit dem Update auf visionOS 1.3. Das Update deaktiviert die Persona-Avatare, wenn die virtuelle Tastatur der Vision Pro aktiv ist.

Lesetipps

Neue Games und Videos für Vision Pro

Apple erweitert die Auswahl an räumlichen und immersiven Erlebnissen für das Vision Pro Headset mit einer Reihe von neuen Spielen, Apps und... mehr

Die besten Apps für die Vision Pro im August 2024

Jetzt, da die Vision Pro auch Gerät hierzulande zu kaufen ist, hat sich das große Trara um die Vision Pro gelegt. Klar ist: Apples Datenbrille... mehr

Am 5. September fügte Apple den folgenden Eintrag zu seinen visionOS 1.3 Sicherheitshinweisen hinzu:

Auswirkung: Eingaben auf der virtuellen Tastatur könnten durch die Persona ermittelt werden.

Beschreibung: Das Problem wurde durch Deaktivierung der Persona bei aktiver virtueller Tastatur behoben.

Laut Bericht wurde die Lücke nicht aktiv ausgenutzt. Dennoch sollten Vision Pro Nutzende sofort auf visionOS 1.3 oder eine spätere Version aktualisieren, um sicherzugehen, dass sie geschützt sind.