Bir grup araştırmacı, Apple’ın Vision Pro karma gerçeklik başlığında kullanıcıların şifrelerini, PIN’lerini ve mesajlarını rsike atan bir güvenlik açığı tespit ettiklerini duyurdu. Araştırmacılar, “GAZEploit” olarak adlandırdıkları açık sayesinde, kullanıcıların gözlerini takip ederek sanal klavyeyle ne yazdıklarını çözebildiler.
Araştırmacılar, kullanıcı avatarları diğer kullanıcılar tarafından görülebildiği için herhangi bir hack girişimi yapmaya veya kullanıcının başlığına erişim sağlamaya ihtiyaç duymadı. Bu açıktan faydalanmak için sadece avatarlarının göz hareketlerini incelemeleri yeterliydi. Vision Pro içerisinde avatarlar, Slack, Teams, Twitter ve diğer pek çok uygulamaya giriş yapmak için sanal klavyeyi kullanabiliyor.
Araştırmacılar klavye yerleşimini etkileyici bir doğrulukla tahmin edebildiler, mesajlarda %90’ın üzerinde doğrulukla, şifrelerde %77 ve PIN’lerde %73 doğruluk oranıyla doğru harfleri en fazla beş tahminle belirleyebildiler.
Açık Temmuz ayında kapatıldı
Güvenlik açığının Nisan ayında keşfedildiği ve Apple’ın Temmuz ayında sorunu düzeltmek için bir yama yayınladığı açıklandı. Artık sanal klavye kullanıldığında avatarlar görüntülenmeyecek. Araştırmacılar, bunun türünün ilk örneği olduğu ve biyometrik verilerin kullanıcıları gözetlemek için nasıl kullanılabileceğini ortaya koyduğunu belirttiler: “Bu teknolojiler … kullanıcının sanal avatarının göz hareketlerini yansıttığı görüntülü görüşmeler yoluyla göz izleme verileri de dahil olmak üzere kritik yüz biyometrisini istemeden açığa çıkarabilir.”
Diğer pek çok teknoloji gelişiminde olduğu gibi, giyilebilir teknoloji de insanların günlük yaşamını kolaylaştırmayı hedefliyor. Ama bu sırada toplanabilen ve depolanabilen sağlık verileri, konumlar ve biyometrik veriler gibi bilgiler, yanlış ellere geçerse kullanıcılara karşı kullanılabilir.
Kaynak: Chip