编译/VR陀螺

据《连线》杂志消息，今年六位计算机科学家发现了一个与Apple Vision Pro相关的安全漏洞，该漏洞允许他们重建用户输入的信息，包括密码、PIN码和消息。

visionOS 虚拟键盘

当Apple Vision Pro用户使用虚拟Persona时（例如在FaceTime通话期间），研究人员可以通过分析Persona的眼睛移动或“注视”来确定用户在头显虚拟键盘上输入的内容。研究人员创建了一个网站，详细介绍了所谓的“GAZEploit”漏洞的技术细节。

简而言之，研究人员指出，用户在准备按下下一个键时，通常会将目光集中在相应的键上，这会暴露出一些常见的模式。他们声称能够以高达92%的准确率在五次猜测内确定用户输入的消息内容，而密码的准确率也达到了77%。

Persona 视觉漏洞

据报道，研究人员在今年4月向苹果披露了这一漏洞，该公司在7月发布的visionOS 1.3更新中修复了这个问题。此次更新在虚拟键盘激活时暂停了Persona的功能。

苹果在其visionOS 1.3的安全说明中于9月5日添加了如下条目：

• 可用性：Apple Vision Pro
• 影响：虚拟键盘的输入可能被Persona推断出来
• 描述：通过在虚拟键盘激活时暂停Persona解决了该问题

CVE-2024-40865：

• 佛罗里达大学的Hanqiu Wang
• 德州理工大学的Zihao Zhan
• Certik的Haoqi Shan
• 佛罗里达大学的Siqi Dai
• 佛罗里达大学的Max Panoff
• 佛罗里达大学的Shuo Wang

据报告称，这一概念验证攻击尚未在被非法利用。尽管如此，鉴于研究结果已经公开，Vision Pro用户应立即更新头显至visionOS 1.3或更高版本以确保安全。

来源：