La tecnología de seguimiento ocular de Apple Vision Pro presenta nuevas formas de interactuar mientras escribe. Sin embargo, se dice que los piratas informáticos están aprovechando esta tecnología para robar datos confidenciales. Esta nueva tecnología disponible en los primeros auriculares de realidad mixta de Apple viene con una vulnerabilidad llamada GAZEploit. La falla, descubierta por investigadores de la Universidad de Florida, el equipo CertiK Skyfall y la Universidad Tecnológica de Texas, pone a los usuarios en riesgo de sufrir violaciones de privacidad durante las llamadas FaceTime de Apple Vision Pro.
¿Qué significa esta vulnerabilidad para los usuarios?
En una publicación de blog, los investigadores explican que GAZEploit aprovecha los datos de seguimiento ocular de realidad virtual para predecir lo que escriben los usuarios. Cuando se utiliza un dispositivo de realidad virtual o de realidad mixta como Apple Vision Pro, los usuarios escriben mirando las teclas de un teclado virtual. En lugar de presionar teclas físicas, el dispositivo rastrea los movimientos oculares del usuario para identificar la letra o número seleccionado.
GAZEploit analiza los datos del movimiento ocular para apuntar a teclados virtuales e inferir lo que escriben los usuarios. La tecnología registra los movimientos oculares del avatar virtual de un usuario y utiliza Eye Aspect Ratio (EAR), que mide qué tan abiertos están los ojos, y Gaze Estimation, que rastrea hacia dónde mira el usuario en la pantalla. Funciona enfocándose en dos. elementos clave:
Al evaluar estos factores, los piratas informáticos pueden detectar cuándo los usuarios están escribiendo e incluso identificar las teclas específicas que se seleccionan. En la realidad virtual, los movimientos oculares del usuario siguen un patrón claro y el parpadeo se reduce mientras escribe. GAZEploit aprovecha esto mediante el uso de un modelo de aprendizaje automático llamado red neuronal recurrente (RNN) para analizar e interpretar estos patrones de movimiento ocular.
Los investigadores dicen que entrenaron al RNN utilizando datos de 30 personas y lograron una precisión del 98% en la identificación de sesiones de mecanografía.
Cuando se detecta una sesión de escritura, GAZEploit predice las pulsaciones de teclas analizando movimientos oculares rápidos (sacadas) seguidos de pausas (miradas) mientras los ojos se concentran en las teclas. El ataque asigna estos movimientos oculares al diseño de un teclado virtual para identificar las letras y los números que se escriben.
GAZEploit determina la clave seleccionada evaluando la estabilidad de la mirada durante la fijación. En las pruebas, los investigadores lograron una precisión del 85,9 % en la predicción de pulsaciones de teclas individuales y una impresionante recuperación del 96,8 % en la detección de actividad de escritura.
Este ataque se puede realizar de forma remota, lo que permite al atacante obtener solo el video del avatar del usuario y analizar sus movimientos oculares para inferir lo que está escribiendo. Esta vulnerabilidad remota significa que información confidencial como contraseñas y mensajes privados puede robarse sin el conocimiento del usuario durante reuniones virtuales, videollamadas o transmisiones en vivo.
Cómo pueden protegerse los usuarios
Para protegerse de posibles ataques como GAZEploit, los usuarios deben tomar algunas precauciones importantes. En primer lugar, debes evitar introducir información sensible como contraseñas o datos personales mediante el seguimiento ocular en un entorno de realidad virtual (VR).
Usar un teclado físico u otro método de entrada seguro es una alternativa más segura. Apple publica con frecuencia parches de seguridad para abordar las vulnerabilidades, por lo que también es importante mantener el software actualizado.
Finalmente, puede minimizar aún más el riesgo de exposición ajustando la configuración de privacidad de su dispositivo VR/MR para limitar o desactivar el seguimiento ocular cuando no sea necesario.
https://timesofindia.indiatimes.com/technology/tech-news/how-hackers-are-using-apple-vision-pros-eye-tracking-technology-to-steal-passwords/articleshow/113370957.cms
