Pesquisadores acham brecha preocupante no Apple Vision Pro

20 de Setembro de 2024 as 17h 02min

Um grupo de seis pesquisadores descobriu uma brecha preocupante no Apple Vision Pro: o rastreamento ocular entregava o que usuários digitavam no teclado virtual do headset.

Ao explorarem isso, os pesquisadores descobriram informações sensíveis, como senhas e conteúdo de mensagens privadas, revelou a revista Wired.

É que no headset da Apple os olhos funcionam como se fosse o mouse (ou trackpad) de um computador. Ao digitar, o usuário olha para um teclado virtual que flutua ao redor e pode ser movido e redimensionado. Quando a pessoa olha para a letra que quer digitar, juntar dois dedos funciona como um clique.

“Essas tecnologias (…) podem inadvertidamente expor biometria facial crítica, incluindo dados de rastreamento ocular, por meio de chamadas de vídeo nas quais o avatar virtual do usuário reflete seus movimentos oculares”, escrevem os pesquisadores num artigo pré-publicado que detalha suas descobertas. Mas vamos por partes.

Por meio do ataque hacker elaborado pelos pesquisadores, chamado GAZEploit, eles reconstruíram senhas, PINs e mensagens digitadas pelas pessoas com os olhos no Apple Vision Pro. É o primeiro ataque a explorar os dados dos “olhares” das pessoas dessa maneira, dizem os pesquisadores.

“Com base na direção do movimento ocular, o hacker pode determinar qual tecla a vítima está digitando no momento”, explicou Hanqiu Wang, um dos principais pesquisadores envolvidos no trabalho. O grupo identificou corretamente as letras digitadas em senhas 77% das vezes dentro de cinco tentativas. E 92% das vezes em mensagens.

Os pesquisadores não tiveram acesso ao headset da Apple para espiar o que o usuário estava vendo. Em vez disso, eles descobriram o que as pessoas digitaram ao analisar remotamente os movimentos oculares de um avatar virtual criado pelo Vision Pro. Esse avatar pode ser usado em chamadas de vídeo de outros aplicativos, como Zoom, Teams, Slack e FaceTime.

Os pesquisadores alertaram a Apple sobre a vulnerabilidade em abril, e a empresa lançou um patch para impedir o vazamento de dados no final de julho. O trabalho do grupo destaca como dados biométricos das pessoas podem expor informações sensíveis. E ser usados como parte da crescente indústria de vigilância, conforme destacado pela revista. Chega a ser distópico.

Fonte: DA REPORTAGEM