一組計算機科學家發現了 Apple Vision Pro 混合現實頭顯的一個重大安全漏洞,展示了眼動追蹤資料如何被利用來破譯使用者輸入。這一發現凸顯了可穿戴裝置中先進生物識別技術帶來的潛在隱私風險。
GAZEploit 攻擊
研究人員開發了一種名為 GAZEploit 的攻擊方法,該方法分析使用者在視訊通話或流媒體會話期間虛擬頭像的眼球運動。透過觀察這些動作,研究團隊能夠以驚人的準確度重構使用 Vision Pro 虛擬鍵盤輸入的密碼、PIN 碼和訊息。
GAZEploit 研究的主要發現包括:
- 在5次嘗試內猜測密碼字元的準確率達77%
- 破譯訊息內容的準確率達92%
- PIN 碼輸入的成功率為73%
- 電子郵件、URL 和網頁的準確率為86.1%
GAZEploit 的工作原理
這種攻擊主要依賴兩個組成部分:
- 透過分析3D頭像的眼球運動來識別打字活動
- 使用幾何計算來確定虛擬鍵盤的位置和大小
透過結合這些元素,研究人員可以預測使用者可能輸入的按鍵,而無需直接訪問裝置本身。
對隱私和安全的影響
這個漏洞引發了人們對可穿戴技術中生物識別資料可能被濫用的擔憂。隨著裝置越來越融入日常生活,使用者可能會在不知不覺中透過看似無害的功能(如眼動追蹤)暴露敏感資訊。
Pomona College 計算機科學副教授 Alexandra Papoutsaki 博士指出了這項研究的重要性,她表示:"現在僅僅透過流傳輸他們的 Persona,就可能暴露他們正在做的事情,這就是漏洞變得更加嚴重的地方。"
Apple 的回應
Apple 在2023年4月被告知了這個漏洞,並在7月作為 VisionOS 1.3 更新的一部分發布了補丁。這個修復防止了在使用虛擬鍵盤時共享使用者的 Persona,有效地降低了眼動追蹤資料洩露的風險。
更廣泛的影響
GAZEploit 研究強調了隨著可穿戴技術的進步,需要持續保護使用者隱私的警惕性。它提醒我們,即使看似良性的功能也可能以意想不到的方式被利用。
隨著行業的發展,平衡創新技術的好處與強大的安全措施將對維護使用者信任和保護敏感資訊至關重要。