Apple Vision Pro’nun sanal klavyelerinden tuş vuruşlarını yakalamaya olanak tanıyan “GAZEploit” adı verilen yeni bir güvenlik açığı keşfedildi.
Saldırı, Apple’ın karma gerçeklik başlığında bakışa dayalı yazma için kullanılan göz izleme teknolojisinden yararlanıyor.
Florida Üniversitesi, CertiK Skyfall Ekibi ve Texas Tech Üniversitesi’nden araştırmacılar, bir kullanıcının sanal avatarının göz hareketlerini analiz ederek ne yazıldığını çıkarabilen GAZEploit’i geliştirdi.
Saldırı, avatarın FaceTime görüşmeleri veya avatarın görünür olduğu diğer senaryolar sırasında göz hareketlerini kaydederek çalışıyor.
GAZEploit, iki temel biyometrik göstergeye odaklanıyor: Bir kişinin gözlerinin ne kadar açık olduğunu ölçen göz en boy oranı (EAR) ve ekranda nereye baktıklarını izleyen göz bakışı tahmini.
Saldırganlar bu faktörleri analiz ederek bir kullanıcının ne zaman yazdığını belirleyebilir ve hatta hangi tuşların seçildiğini bile tespit edebilir.
Uyumluluğun Kodunu Çözme: CISO’ların Bilmesi Gerekenler – Ücretsiz Web Seminerine Katılın
Araştırmacılar, 30 katılımcıdan alınan veriler üzerinde bir makine öğrenimi modeli eğittiler ve yazma oturumlarını belirlemede %98 doğruluk elde ettiler. Bireysel tuş vuruşlarını tahmin etmek için %85,9 doğruluk ve %96,8 hatırlama bildirdiler.
GAZEploit’i özellikle endişe verici kılan şey, avatarın video görüntülerini analiz ederek uzaktan gerçekleştirilebiliyor olması.
Bu, parolalar veya özel mesajlar gibi hassas bilgilerin sanal toplantılar veya canlı yayınlar gibi günlük aktiviteler sırasında tehlikeye atılabileceği anlamına geliyor.
Apple, Temmuz 2024’te visionOS 1.3’te bir yama yayınlayarak bu güvenlik açığını gidermek için adımlar attı. Ancak keşif, biyometrik verilere dayanan yeni VR/AR teknolojilerinin ortaya koyduğu benzersiz gizlilik zorluklarını vurguluyor.
Benzer saldırılara karşı korunmak için uzmanlar, mümkün olduğunda VR ortamlarında göz izleme yöntemleriyle hassas bilgilerin girilmesinden kaçınılmasını öneriyor. Parolaların ve kişisel verilerin girilmesi için fiziksel klavyelerin veya diğer güvenli giriş yöntemlerinin kullanılması önerilir.
GAZEploit araştırması, VR teknolojisi daha yaygın hale geldikçe sağlam gizlilik korumalarına olan ihtiyacın altını çiziyor. Bu sürükleyici sistemler giderek daha zengin davranışsal veriler topladıkça, kullanıcı deneyimi ile veri koruması arasında bir denge kurmak yaygın bir şekilde benimsenmesi için kritik önem taşıyacak.
Apple bu özel güvenlik açığını kapatmak için hızla hareket etse de bu olay, VR/AR yeteneklerinin genişlemesiyle birlikte yeni saldırı vektörlerinin ortaya çıkmaya devam edebileceğini hatırlatıyor.
Hepsi Bir Arada Siber Güvenlik Platformuyla Siber Saldırı Senaryolarını Simüle Etme – Ücretsiz Web Seminerini İzleyin