اپل نقص امنیتی Vision Pro را برطرف می‌کند که می‌تواند آنچه را که تایپ کرده‌اید فاش کند

همانطور که توسط سیمی امروز، گروهی متشکل از شش دانشمند کامپیوتر امسال یک آسیب‌پذیری امنیتی را در Apple Vision Pro کشف کردند که به آنها اجازه می‌داد تا آنچه را که افراد تایپ می‌کنند، از جمله رمز عبور، پین و پیام‌ها، بازسازی کنند.

هنگامی که یک کاربر Vision Pro از یک آواتار مجازی Persona استفاده می کرد، مثلاً در حین تماس FaceTime، محققان توانستند حرکت چشم یا “نگاه” پرسونا را تجزیه و تحلیل کنند تا مشخص کنند کاربر چه چیزی را روی صفحه کلید مجازی هدست تایپ می کند. محققان وب سایتی با جزئیات فنی در مورد آسیب پذیری موسوم به “GAZEploit” ایجاد کردند.

به طور خلاصه، محققان گفتند که نگاه یک فرد به طور معمول روی کلیدی متمرکز می شود که احتمالاً در مرحله بعدی فشار می دهد، و این می تواند برخی از الگوهای رایج را نشان دهد. در نتیجه، محققان گفتند که توانسته‌اند حروف صحیحی را که افراد در پیام‌ها تایپ می‌کنند در 92 درصد مواقع طی پنج حدس و در 77 درصد مواقع برای رمزهای عبور شناسایی کنند.

بر اساس این گزارش، محققان این آسیب‌پذیری را در ماه آوریل برای اپل فاش کردند و این شرکت در ماه جولای در visionOS 1.3 به این مشکل پرداخت. زمانی که صفحه کلید مجازی Vision Pro فعال باشد، این به روز رسانی Personas را به حالت تعلیق در می آورد.

اپل در 5 سپتامبر ورودی زیر را به یادداشت های امنیتی visionOS 1.3 خود اضافه کرد:

حضور

موجود برای: Apple Vision Pro

تأثیر: ورودی‌های صفحه‌کلید مجازی ممکن است از Persona استنباط شوند

توضیحات: این مشکل با تعلیق Persona هنگامی که صفحه کلید مجازی فعال است برطرف شد.

CVE-2024-40865: هانکیو وانگ از دانشگاه فلوریدا، زیهائو ژان از دانشگاه فناوری تگزاس، هائوکی شان از سرتیک، سیکی دای از دانشگاه فلوریدا، مکس پانوف از دانشگاه فلوریدا، و شوو وانگ از دانشگاه فلوریدا

بر اساس این گزارش، حمله اثبات مفهومی در طبیعت مورد بهره برداری قرار نگرفته است. با این وجود، کاربران Vision Pro باید فوراً هدست را به visionOS 1.3 یا جدیدتر به روز کنند تا از محافظت از آنها اطمینان حاصل کنند، اکنون که یافته ها به صورت عمومی به اشتراک گذاشته شده است.