Il 13 settembre 2024, Apple ha rilasciato un importante aggiornamento per il suo dispositivo di realtà mista, il Vision Pro. Questo aggiornamento è stato necessario per risolvere una vulnerabilità critica che permetteva agli attaccanti di ottenere informazioni sensibili, come password e messaggi, semplicemente analizzando i movimenti oculari degli utenti. Questo tipo di attacco è stato denominato GAZEploit e ha sollevato preoccupazioni significative tra gli utenti e gli esperti di sicurezza.
La Vulnerabilità GAZEploit
I ricercatori della University of Florida e della Texas Tech University hanno dimostrato come un attaccante potesse inferire cosa stesse scrivendo un utente del Vision Pro analizzando i movimenti oculari del suo avatar. L’avatar, chiamato Persona da Apple, rappresenta la faccia e le movenze delle mani dell’utente all’interno dell’ambiente del Vision Pro. Durante le chiamate video, le riunioni e le trasmissioni in diretta, l’avatar è visibile agli altri utenti.
I ricercatori hanno scoperto che un’analisi dei movimenti oculari dell’avatar mentre l’utente stava digitando con il suo sguardo poteva essere utilizzata per ricostruire le chiavi che l’utente premeva sulle tastiere virtuali del Vision Pro. Questo tipo di attacco è stato testato su dati raccolti da 30 individui, e i ricercatori hanno raggiunto un’accuratezza significativa quando gli utenti digitavano messaggi, password, URL, email e codici PIN.
Come Funziona il GAZEploit
Durante la digitazione con il sguardo, i movimenti oculari degli utenti si spostano rapidamente tra le chiavi e si fissano sulla chiave da premere. Questi movimenti rapidi sono chiamati saccadi, mentre la fase di fissazione è quando l’utente guarda un oggetto. I ricercatori hanno sviluppato un algoritmo che calcola la stabilità del tracciato oculare e stabilisce un limite per classificare le fissazioni dai saccadi. Utilizzando i punti di stima del sguardo in queste regioni di alta stabilità come candidati per i click, hanno ottenuto una precisione e un recall del 85,9% e 96,8% rispettivamente per l’identificazione delle tasti durante le sessioni di digitazione.
Come Apple Ha Risolto la Vulnerabilità
Apple ha risolto la vulnerabilità identificata come CVE-2024-40865 con il rilascio di visionOS 1.3. La nota di sicurezza per visionOS 1.3 è stata pubblicata a fine luglio, ma è stata aggiornata da Apple il 5 settembre per includere CVE-2024-40865. Apple ha affrontato il problema sospensione la Persona quando la tastiera virtuale è attiva.
Suggerimenti e Consigli per gli Utenti del Vision Pro
- Aggiornamento Regolare: Assicurarsi di ricevere e installare gli aggiornamenti di sicurezza regolarmente per proteggere il proprio dispositivo.
- Utilizzo della Tastiera Virtuale: Utilizzare la tastiera virtuale del Vision Pro con cautela, poiché i movimenti oculari possono essere tracciati.
- Sicurezza delle Password: Utilizzare password complesse e diverse per ogni account, evitando così di esporre informazioni sensibili.
- Attività Online: Evitare di eseguire attività online sensibili, come la digitazione di password o la visualizzazione di informazioni personali, quando si utilizza il Vision Pro.
- Consapevolezza dei Rischi: Essere consapevoli dei rischi legati alla sicurezza del Vision Pro e prendere misure preventive per proteggere le informazioni personali.
- Monitoraggio delle Notizie di Sicurezza: Seguire le notizie di sicurezza relative al Vision Pro per rimanere aggiornati su eventuali vulnerabilità e patch rilasciate da Apple.
- Utilizzo di Strumenti di Sicurezza: Utilizzare strumenti di sicurezza aggiuntivi per proteggere il dispositivo, come antivirus e firewall.
- Formazione e Educazione: Partecipare a corsi di formazione e educazione sulla sicurezza informatica per migliorare le proprie abilità di sicurezza.
- Rapporto con Apple: Se si sospetta una vulnerabilità o un problema di sicurezza, segnalare il problema a Apple attraverso i canali ufficiali di supporto.
- Consapevolezza dei Dati: Essere consapevoli di come i dati personali vengono raccolti e utilizzati dal Vision Pro e prendere decisioni informate sulla privacy.
Il rilascio dell’aggiornamento per il Vision Pro da parte di Apple è un passo importante nella protezione degli utenti dai GAZEploit. Tuttavia, è fondamentale che gli utenti continuino a essere consapevoli dei rischi legati alla sicurezza del dispositivo e prendano misure preventive per proteggere le informazioni personali. Seguire gli aggiornamenti di sicurezza, utilizzare la tastiera virtuale con cautela e mantenere una buona consapevolezza dei rischi possono aiutare a minimizzare i rischi legati alla sicurezza del Vision Pro.
