Um grupo de seis pesquisadores identificou uma vulnerabilidade alarmante no Apple Vision Pro: o rastreamento ocular do dispositivo revelava o que os usuários digitavam em seu teclado virtual.
Ao investigar essa falha, os pesquisadores conseguiram acessar informações confidenciais, como senhas e o conteúdo de mensagens privadas, conforme relatado pela revista Wired.
No dispositivo da Apple, os olhos do usuário funcionam de maneira similar a um mouse (ou trackpad) de um computador.
Para digitar, o usuário direciona o olhar para um teclado virtual, que pode flutuar ao redor da tela e ser ajustado em tamanho.
Ao focar na letra desejada, a ação de juntar dois dedos equivale a um clique.
“Estas tecnologias (...) podem, sem querer, revelar biometria facial crítica, incluindo dados de rastreamento ocular, através de chamadas de vídeo nas quais o avatar virtual do usuário reproduz seus movimentos oculares”, afirmam os pesquisadores em um artigo pré-publicado que detalha seus achados.
Porém, vamos analisar por etapas.
Utilizando um ataque hacker desenvolvido por eles, denominado GAZEploit, os pesquisadores conseguiram recriar senhas, PINs e mensagens digitadas pelos usuários por meio do movimento dos olhos no Apple Vision Pro.
Segundo eles, é o primeiro ataque que utiliza dados do “olhar” das pessoas desta forma.
“Com base na direção do movimento ocular, o hacker pode inferir qual tecla a vítima está pressionando naquele momento”, explicou Hanqiu Wang, um dos pesquisadores líderes do projeto.
O grupo conseguiu identificar corretamente as letras digitadas em senhas 77% das vezes dentro de cinco tentativas.
E em mensagens, o sucesso foi de 92%.
É importante ressaltar que os pesquisadores não precisaram ter acesso físico ao headset da Apple para observar o que o usuário visualizava.
Em vez disso, eles analisaram remotamente os movimentos oculares de um avatar virtual gerado pelo Vision Pro.
Esse avatar pode ser utilizado em chamadas de vídeo de diversos aplicativos, como Zoom, Teams, Slack e FaceTime.
Os pesquisadores notificaram a Apple sobre a vulnerabilidade em abril, e a companhia lançou um patch para corrigir a falha no fim de julho.
O estudo realizado pelo grupo enfatiza como a biometria das pessoas pode revelar informações delicadas.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...