Incredibile Breccia di Sicurezza nella Realtà Virtuale: Il Caso Vision Pro e la Tecnica GAZEploit
La Nuova Sfida per la Sicurezza nei Dispositivi di Realtà Virtuale
Nel crescente campo della realtà virtuale, la sicurezza delle informazioni personali è sempre più al centro delle attenzioni a causa di nuove vulnerabilità scoperte. Recentemente, ricercatori specializzati in cybersecurity hanno identificato una minaccia significativa nel dispositivo Vision Pro di Apple. Questa vulnerabilità permette di intercettare le digitazioni sulla tastiera virtuale del visore analizzando i movimenti oculari dell’avatar tridimensionale dell’utente, mettendo potenzialmente a rischio dati sensibili come password e informazioni personali.
I ricercatori hanno denominato questa tecnica di attacco GAZEploit, la quale utilizza le tecnologie di eye-tracking per raccogliere dati critici. De facto, è stato possibile per i ricercatori ricostruire con elevata precisione le attività di digitazione degli utenti, completamente a distanza e senza accesso fisico al dispositivo.
L’indagine sui movimenti oculari dell’avatar, chiamato “Persona”, ha rivelato comportamenti distintivi quando gli utenti interagiscono con la tastiera virtuale. Durante la digitazione, l’occhio umano segue un percorso prevedibile, ben diverso dall’erratico vagare tipico della lettura di testi o della visione di video. Utilizzando questo principio, i ricercatori hanno sviluppato una rete neurale allenata con i dati da 30 soggetti differenti, riuscendo a identificare non solo la posizione e le dimensioni della tastiera virtuale, ma anche i specifici tasti pressi dagli utenti.
La precisione del sistema GAZEploit si è dimostrata notevolmente alta. Nei test effettuati, i ricercatori hanno raggiunto una percentuale di successo fino al 92.1% nella riconoscita delle lettere digitate per i messaggi, dimostrando l’efficacia di tale tecnica anche senza avere preconoscenze sulla disposizione della tastiera o sulle abitudini di digitazione del soggetto.
Nonostante GAZEploit sia per ora un proof-of-concept operante in un ambiente controllato, espone un chiaro rischio che potrebbe essere sfruttato da malintenzionati. Per esempio, durante una videochiamata, un hacker potrebbe facilmente registrare i movimenti oculari per poi abusarne per scopi illeciti. Conscio del pericolo, il team di ricercatori ha seguito le normative di divulgazione responsabile, informando Apple nel dettaglio delle loro scoperte questo aprile. In risposta, Apple ha rilasciato un aggiornamento software, VisionOS 1.3, che impedisce la condivisione dell’avatar mentre l’utente utilizza la tastiera virtuale, chiudendo così la falla di sicurezza, ora catalogata con il codice CVE-2024-40865.
Conclusioni e Risvolti Futuri
Questo caso mette in luce la necessità continua di vigilanza e aggiornamento nella sicurezza informatica, specialmente in settori tecnologici emergenti come quello della realtà virtuale. Sebbene le innovazioni continuino a offrire nuove modalità di interazione e fruizione di contenuti digitali, portano con sé nuove sfide per la protezione dei dati personali. Affrontare proattivamente queste vulnerabilità, come dimostrato dall’intervento tempestivo di Apple, è fondamentale per garantire che le nuove frontiere della tecnologia rimangano sicure per gli utenti. Le implicazioni di queste scoperte faranno certamente il giro della comunità di sviluppatori e addetti alla sicurezza, stimolando un continuo dialogo su come meglio proteggere e rispettare la privacy degli utenti nell’era della realtà aumentata e virtuale.
Cyber Net Now
Cyber Net Now è una rete di professionisti che volontariamente apportano il loro contributo alla divulgazione di notizie e tematiche del mondo della cybersecurity, della sicurezza informatica e della tecnologia, specialmente in Italia.