Forscher haben eine ungewöhnliche Sicherheitslücke in Apples Mixed-Reality-Headset Vision Pro entdeckt. Durch die Analyse der Augenbewegungen des Avatars konnten sie Passwörter, PINs und Nachrichten rekonstruieren. Apple hat bereits reagiert.
Apple Vision Pro: Avatare verraten Geheimnisse
Sicherheitsforscher berichten von einer gravierenden Sicherheitslücke in Apples Vision Pro. Demnach ist es möglich gewesen, über den digitalen Avatar während eines Videotelefonats sensible Daten zu rekonstruieren und abzugreifen. Das können Nachrichten, aber auch PINs und Passwörter sein, heißt es. Ein physischer Zugriff auf das Apple-Headset sei nicht notwendig, Angreifer hätten aus der Ferne agieren können.
Zu Demonstrationszwecken haben die Forscher eine Methode namens Gazeploit entwickelt, um das Tippverhalten auf der virtuellen Tastatur allein anhand der Blickbewegungen zu analysieren. Dazu trainierten sie ein neuronales Netz mit Aufnahmen von Testpersonen. In Versuchen konnten sie damit nach eigenen Angaben 77 Prozent der Passwörter und sogar 92 Prozent der Nachrichten richtig entschlüsseln.
Um Daten angreifen zu können, musste zunächst die Position und Größe der virtuellen Tastatur bestimmt werden. Das könne allein durch die Auswertung der Eye-Tracking-Daten geschehen. Anschließend lässt sich in Echtzeit verfolgen, welche Tasten der Nutzer betätigt. Die hohe Trefferquote hat die Forscher selbst überrascht (Quelle: Wired).
Lücke bei Vision Pro: Apple reagiert mit Update
Apple war bereits im April über die Sicherheitslücke informiert worden. Ende Juli veröffentlichte das Unternehmen ein Software-Update für visionOS 1.3, das die Schwachstelle behebt. Die neue Version verhindert die Wiedergabe von Avataren bei aktiver Nutzung der Tastatur. In den Versionshinweisen zu visionOS 1.3 wird der Fix nicht erwähnt.
Das müsst ihr über die Apple Vision Pro wissen: