Problema de Seguridad en Apple Vision Pro
El Vision Pro de Apple muestra una versión virtual de ti mientras interactúas con otros en realidad virtual. Sin embargo, esta función, llamada Persona, podría haber sido utilizada por hackers para robar datos sensibles de los usuarios. Un grupo de seis científicos de la computación de la Universidad de Florida descubrió esta falla de seguridad, que fue reportada por primera vez en Wired. El ataque GAZEploit, como lo denominaron los investigadores, rastrea los movimientos oculares de la Persona de un usuario para identificar cuándo están escribiendo algo en el teclado virtual del Vision Pro. Los investigadores encontraron que los usuarios tienden a dirigir su mirada hacia teclas específicas antes de hacer clic, pudiendo construir un algoritmo que identifica lo que están escribiendo. Los resultados fueron bastante precisos; por ejemplo, los investigadores pudieron identificar correctamente las letras de las contraseñas de los usuarios el 77 por ciento de las veces. En el caso de detectar lo que las personas estaban escribiendo en un mensaje, los resultados fueron precisos el 92 por ciento de las veces.
Respuesta de Apple y Actualizaciones de Seguridad
Los investigadores informaron sobre la vulnerabilidad a Apple en abril, y la compañía solucionó el problema en visionOS 1.3, que se lanzó en julio. En las notas de la versión, Apple indicó que la falla permitía inferir las entradas al teclado virtual desde Persona.
“El problema se abordó suspendiendo Persona cuando el teclado virtual está activo”, escribió Apple en las notas de la versión. Se aconseja a los usuarios de Vision Pro que aún no han actualizado a la última versión que lo hagan lo antes posible. Si bien desactivar simplemente Persona mientras el usuario escribe fue una solución bastante simple, la falla plantea la pregunta de cuánta información podría inferir un hacker malicioso solo al observar una versión virtual de ti.
Implicaciones de Seguridad y Medidas de Protección
Los investigadores afirmaron que el ataque no se ha utilizado contra alguien que emplea Personas en el mundo real. Sin embargo, lo que hace que este ataque sea particularmente peligroso es que solo se requiere una grabación en video de la Persona de alguien mientras la persona escribe, lo que significa que un atacante podría utilizarlo en un video antiguo. Parece que la única forma de mitigar este problema es eliminar cualquier video disponible públicamente donde tu Persona sea visible mientras escribes; hemos contactado a Apple para aclarar qué se puede hacer para proteger tus datos.
Fuente y créditos: mashable.com
Cats: Tech
