Telah muncul rincian tentang kelemahan keamanan yang kini telah ditambal yang memengaruhi headset realitas campuran Vision Pro Apple yang, jika berhasil dieksploitasi, dapat memungkinkan penyerang jahat untuk menyimpulkan data yang dimasukkan pada papan ketik virtual perangkat tersebut.
Serangan tersebut, yang dijuluki Eksploitasi GAZEtelah diberi pengenal CVE CVE-2024-40865.
“Serangan baru yang dapat menyimpulkan biometrik terkait mata dari gambar avatar untuk merekonstruksi teks yang dimasukkan melalui pengetikan yang dikontrol tatapan,” kata sekelompok akademisi dari Universitas Florida.
“Serangan GAZEploit memanfaatkan kerentanan yang melekat pada entri teks yang dikendalikan tatapan mata saat pengguna berbagi avatar virtual.”
Setelah melakukan pengungkapan yang bertanggung jawab, Apple mengatasi masalah tersebut dalam visionOS 1.3 yang dirilis pada 29 Juli 2024. Apple menjelaskan bahwa kerentanan tersebut memengaruhi komponen yang disebut Presence.
“Input ke papan ketik virtual dapat disimpulkan dari Persona,” katanya dalam penasihat keamanan, seraya menambahkan bahwa pihaknya menyelesaikan masalah tersebut dengan “menangguhkan Persona saat papan ketik virtual aktif.”
Singkatnya, para peneliti menemukan bahwa adalah mungkin untuk menganalisis gerakan mata (atau “tatapan”) avatar virtual untuk menentukan apa yang diketik oleh pengguna yang mengenakan headset tersebut pada papan ketik virtual, yang secara efektif membahayakan privasi mereka.
Akibatnya, pelaku ancaman dapat, secara hipotetis, menganalisis avatar virtual yang dibagikan melalui panggilan video, aplikasi rapat daring, atau platform streaming langsung dan melakukan inferensi penekanan tombol dari jarak jauh. Hal ini kemudian dapat dimanfaatkan untuk mengekstrak informasi sensitif seperti kata sandi.
Serangan tersebut, pada gilirannya, dilakukan melalui model pembelajaran terawasi yang dilatih pada rekaman Persona, rasio aspek mata (EAR), dan estimasi tatapan mata untuk membedakan antara sesi mengetik dan aktivitas terkait VR lainnya (misalnya, menonton film atau bermain game).
Pada langkah berikutnya, arah estimasi pandangan pada papan ketik virtual dipetakan ke tombol-tombol tertentu untuk menentukan potensi penekanan tombol sedemikian rupa sehingga juga memperhitungkan lokasi papan ketik di ruang virtual.
“Dengan merekam dan menganalisis video avatar virtual dari jarak jauh, penyerang dapat merekonstruksi tombol yang diketik,” kata para peneliti. “Yang perlu diperhatikan, serangan GAZEploit adalah serangan pertama yang diketahui dalam domain ini yang mengeksploitasi informasi tatapan yang bocor untuk melakukan inferensi penekanan tombol dari jarak jauh.”