image

Apple Vision Pro kon via eye-tracking wachtwoord van gebruikers lekken

donderdag 12 september 2024, 16:38 door Redactie, 6 reacties

Een kwetsbaarheid in de Apple Vision Pro maakte het mogelijk om wachtwoorden en andere invoer van gebruikers te achterhalen, zo ontdekten onderzoekers. Die rapporteerden het probleem aan Apple, dat eind juli met een beveiligingsupdate kwam. De Apple Vision Pro biedt gebruikers 'gaze typing'. Door naar een virtueel toetsenbord te kijken kunnen gebruikers wachtwoorden, pincodes en andere zaken 'typen'.

Een andere feature van de Apple Vision Pro is het creëren van een virtuele avatar, die tijdens videobellen, live streaming of online vergaderapps aan andere deelnemers getoond kan worden. Onderzoekers van verschillende Amerikaanse universiteiten ontdekten dat ze aan de manier waarop een virtuele avatar kijkt de 'getypte' toetsaanslagen kunnen achterhalen.

Volgens de onderzoekers is hun "GAZEploit" aanval de eerste aanval waarbij iemands blik wordt gebruikt om op afstand toetsaanslagen af te leiden. De onderzoekers waarschuwden Apple in april. Het techbedrijf kwam op 29 juli met visionOS 1.3 waarin het probleem (CVE-2024-40865) is opgelost. De avatar van gebruikers wordt nu niet meer aan anderen getoond als het virtuele toetsenbord actief is.

Image

Reacties (6)
12-09-2024, 17:25 door Anoniem
Dit werkt niet bij tienvingersysteem blind. Dan heb je de ogen niet nodig om op het toetsenbord te kijken.
12-09-2024, 20:33 door Anoniem
Adverteerders deden dit al, dat Exterion relletje over advertentieborden met camera's erin.

Het leven als track ball mouse in de digitale wereld.
13-09-2024, 07:42 door Anoniem
Ik moest even opzoeken wat de Apple Vision Pro eigenlijk is. Het is een mixed reality headset.

Mijn eerste gedachte hierbij was dat dit een voorbeeld is van hoe complexiteit tot kwetsbaarheden leidt, het zet deurtjes open waar de makers van het spul niet eens op zijn gekomen.

Maar mijn tweede gedachte is: hadden ze hier niet zelf op moeten komen? Als je je energie niet alleen richt op het ontwikkelen van dat moois maar ook door het traject heen een aantal keer, niet oppervlakkig maar diepgaand, met alle betrokkenen je energie en aandacht richt op de vraag wat voor manieren er allemaal te bedenken zijn waarop dit misbruikt kan worden, hadden degenen die met die virtuele avatar bezig zijn geweest dan niet redelijk makkelijk op het idee moeten komen dat dit tot de mogelijkheden kan behoren?

Dat de oogbewegingen van de echte mens in de avatar worden overgenomen is echt niet per ongeluk gebeurd, dat is bedacht en geïmplementeerd. Dan moet de vraag "hoe kan dit misbruikt worden?" leiden tot de vraag "welke dingen waar je naar kijkt zijn voorspelbaar aanwezig en potentieel vertrouwelijk zodat ze mogelijk kwetsbaar zijn?", en als je dan even systematisch de onderdelen van de computer en interface die iemand voor zijn neus heeft naloopt dan kom je onvermijdelijk uit bij het toetsenbord en waar dat voor gebruikt wordt, en dat is inclusief wachtwoorden.

Dat lijkt me niet overdreven moeilijk. Je slaat het natuurlijk makkelijk over als je er niet op gericht bent en het veel te druk hebt met aan de praat krijgen waar je wel op gericht bent, maar in een professionele organisatie organiseer je dat het wel aan bod komt, en met voldoende diepgang, in dat soort dingen zit de toegevoegde waarde van een organisatie boven alleen een groep mensen die enthousiast hun ding doen.

Maar misschien is dat wel een Europees perspectief en zijn Amerikanen veel meer van "move fast and break things", zoals Facebook het uitdrukte. Dan werken dingen niet per se goed maar heb je wel de markt veroverd. Ik zou het prima vinden als het allemaal wat langzamer en degelijker ging. Een hoop securityproblemen hebben we omdat we aan het rennen, rennen, rennen zijn en lang niet vaak genoeg stoppen om rustig de troep op te ruimen die we daarbij achterlaten.
13-09-2024, 09:08 door Anoniem
Zo te zien kan Apple zien of je (bijv.) een vrouw leuk vind via eyetracking en te kijken naar pupilverwijding.
Dan kijk je naar de vrouw (eyetracking) en verwijden de pupillen (camera) als men haar "te" leuk vind...
Dat kan worden omgezet in metadata alvorens te worden verstuurd naar Apple.
Dan kunnen ze oa. je seksuele orientatie zien en dit als psuedoniem een "stempeltje" geven alvorens deze metadata te verkopen.
Ik vraag me af of dit ook daadwerkelijk gebeurd, maar het zou me niks verbazen, een onderzoekje waard?
13-09-2024, 13:08 door Anoniem
Door Anoniem: Zo te zien kan Apple zien of je (bijv.) een vrouw leuk vind via eyetracking en te kijken naar pupilverwijding.
Dan kijk je naar de vrouw (eyetracking) en verwijden de pupillen (camera) als men haar "te" leuk vind...
Dat kan worden omgezet in metadata alvorens te worden verstuurd naar Apple.
Dan kunnen ze oa. je seksuele orientatie zien en dit als psuedoniem een "stempeltje" geven alvorens deze metadata te verkopen.
Ik vraag me af of dit ook daadwerkelijk gebeurd, maar het zou me niks verbazen, een onderzoekje waard?

Interesante gedachtengang. Je kunt dit eenvoudig opschrijven. Dus ga ik er even vanuit dat het ook binnen een jaartje of twee kan. En dat binnen 5 jaar dit in een rechtszaak al belastend of ontlastend bewijs kan dienen.
Of we er blij van moeten worden is een andere vraag. Maar de link tussen primaire emoties en metadata is binnenkort realiteit.
13-09-2024, 23:54 door Anoniem
Door Anoniem:
Door Anoniem: Zo te zien kan Apple zien of je (bijv.) een vrouw leuk vind via eyetracking en te kijken naar pupilverwijding.
Dan kijk je naar de vrouw (eyetracking) en verwijden de pupillen (camera) als men haar "te" leuk vind...
Dat kan worden omgezet in metadata alvorens te worden verstuurd naar Apple.
Dan kunnen ze oa. je seksuele orientatie zien en dit als psuedoniem een "stempeltje" geven alvorens deze metadata te verkopen.
Ik vraag me af of dit ook daadwerkelijk gebeurd, maar het zou me niks verbazen, een onderzoekje waard?

Interesante gedachtengang. Je kunt dit eenvoudig opschrijven. Dus ga ik er even vanuit dat het ook binnen een jaartje of twee kan. En dat binnen 5 jaar dit in een rechtszaak al belastend of ontlastend bewijs kan dienen.
Of we er blij van moeten worden is een andere vraag. Maar de link tussen primaire emoties en metadata is binnenkort realiteit.

Dit is een gevaarlijke ontwikkeling. Verwijde pupillen kunnen verschillende oorzaken hebben. Doe vooral geen honing uit zo'n home-made pot in je thee, daar val je van in slaap. De off- en online wereld zal steeds asocialer worden, puur uit overlevingsstrategie, en van wat dat is kan je zelf invullen. Link leggen tussen primaire emoties en individuele metadata is zoveelste pseudo-wetenschappelijke ringeloormerk.

Doxydrankje:
https://www.dromenwinkel.com/c/droomsap
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.