Detalles del ataque GAZEploit
El ataque GAZEploit consta de dos partes, dice Zhan, uno de los investigadores principales. Primero, los investigadores crearon una forma de identificar cuándo alguien que usa el Vision Pro está escribiendo, analizando el avatar 3D que están compartiendo. Para esto, entrenaron una red neuronal recurrente, un tipo de modelo de aprendizaje profundo, con grabaciones de los avatares de 30 personas mientras completaban una variedad de tareas de escritura. Cuando alguien está escribiendo con el Vision Pro, su mirada se fija en la tecla que probablemente presionará, dicen los investigadores, antes de moverse rápidamente hacia la siguiente tecla. “Cuando estamos escribiendo, nuestra mirada mostrará algunos patrones regulares,” dice Zhan.
Patrones de escritura y su detección
Wang dice que estos patrones son más comunes durante la escritura que si alguien está navegando por un sitio web o viendo un video mientras usa el casco. “Durante tareas como la escritura por mirada, la frecuencia de parpadeo de tus ojos disminuye porque estás más concentrado,” afirma Wang. En resumen: Mirar un teclado QWERTY y moverse entre las letras es un comportamiento bastante distinto. La segunda parte de la investigación, explica Zhan, utiliza cálculos geométricos para determinar dónde alguien ha colocado el teclado y el tamaño que le ha dado. “El único requisito es que, siempre que obtengamos suficiente información sobre la mirada que pueda recuperar con precisión el teclado, entonces todos los pulsos de teclas siguientes pueden ser detectados.”
Resultados del estudio y precisión de predicción
Combinando estos dos elementos, pudieron predecir las teclas que alguien probablemente estaba tecleando. En una serie de pruebas de laboratorio, no tenían ningún conocimiento sobre los hábitos de escritura, velocidad o la ubicación del teclado de la víctima. Sin embargo, los investigadores pudieron predecir las letras correctas tecleadas, en un máximo de cinco intentos, con un 92.1% de precisión en mensajes, un 77% de las veces para contraseñas, un 73% de las veces para PINs y un 86.1% de ocasiones para correos electrónicos, URLs y páginas web. (En el primer intento, las letras eran correctas entre el 35 y el 59% de las veces, dependiendo del tipo de información que intentaban descifrar). Las letras duplicadas y los errores tipográficos representan desafíos adicionales.
Implicaciones de seguridad y resolución del problema
“Es muy poderoso saber hacia dónde está mirando alguien,” dice Alexandra Papoutsaki, profesora asociada de ciencias de la computación en Pomona College, quien ha estudiado el seguimiento ocular durante años y revisó la investigación de GAZEploit para WIRED. Papoutsaki dice que el trabajo destaca ya que solo se basa en la transmisión de video del Persona de alguien, lo que lo convierte en un espacio más “realista” para que ocurra un ataque en comparación con un hacker que manipule el casco de alguien e intente acceder a los datos de seguimiento ocular. “El hecho de que ahora alguien, solo al transmitir su Persona, pudiera exponer potencialmente lo que está haciendo es donde la vulnerabilidad se vuelve mucho más crítica,” dice Papoutsaki.
Si bien el ataque fue creado en un entorno de laboratorio y no se ha utilizado contra nadie que use Personas en el mundo real, los investigadores dicen que hay formas en que los hackers podrían haber abusado de la fuga de datos. Aseguran que, teóricamente al menos, un criminal podría compartir un archivo con una víctima durante una llamada de Zoom, lo que resultaría en que inicie sesión, digamos, en una cuenta de Google o Microsoft. El atacante podría entonces grabar el Persona mientras su objetivo inicia sesión y utilizar el método de ataque para recuperar su contraseña y acceder a su cuenta.
Correcciones rápidas
Los investigadores de GAZEploit informaron sus hallazgos a Apple en abril y posteriormente enviaron a la compañía su código de prueba de concepto para que el ataque pudiera ser replicado. Apple corrigió la falla en una actualización de software del Vision Pro a finales de julio, lo que detiene la transmisión de un Persona si alguien está utilizando el teclado virtual. Un portavoz de Apple confirmó que la compañía solucionó la vulnerabilidad, indicando que se abordó en VisionOS 1.3. Las notas de actualización de software de la compañía no mencionan la corrección, pero está detallada en la nota específica de seguridad de la empresa. Los investigadores indican que Apple asignó el CVE-2024-40865 para la vulnerabilidad y recomiendan a las personas descargar las últimas actualizaciones de software.
Fuente y créditos: www.wired.com
Cats: Security
