Университетские исследователи показали, как удаленно получать пароли и другой ввод с виртуальной клавиатуры Vision Pro. Метод GAZEploit основан на анализе движения глаз аватарки в ходе видеосвязи на гаджете Apple и использует с этой целью ИИ.
Очки смешанной реальности Vision Pro предоставляют возможность управления взглядом (айтрекинга) и при видеозвонках создают 3D-аватар, отображаемый собеседнику. Команда из Университета Флориды и Техасского технологического университета обнаружила, что этот персонаж точно воспроизводит направление глаз юзера, фиксируемое клавиатурой, и в результате может слить вводимые данные.
Атака GAZEploit проводится в два этапа. Вначале определяются расположение и размеры виртуальной клавиатуры (путем геометрических расчетов), а также сам факт ввода текста — по концентрации взгляда, снижению частоты морганий и характерному чередованию саккад (последовательное перемещение глаз по деталям объекта) и фиксаций (пауз).
Для вычисления стабильности айтрекинга был создан алгоритм, а также установлен порог, позволяющий различать саккады и фиксации. Все необходимые данные исследователи собрали с помощью 30 добровольцев, скормили их рекуррентной нейронной сети и в итоге получили точность определения набора на клавиатуре 98%.
На втором этапе GAZEploit проводится анализ. Снятая с аватарки информация сопоставляется с раскладкой виртуальной клавиатуры, и по результатам делаются выводы.
По словам исследователей, им удалось добиться точности определения «нажатых» клавиш 85,9% (precision, доля правильно классифицированных объектов среди всех объектов, которые к этому классу отнес классификатор, в том числе неверно) и полноты 96,8% (отношение верно классифицированных объектов класса к общему числу элементов этого класса, с учетом ложноотрицательных срабатываний).
Таким же образом можно перехватить не только пароль, но и ПИН-код, сообщение, адрес имейл. «Угадайка» в лабораторных условиях (до пяти попыток) показала следующие результаты:
О найденной уязвимости минувшей весной было доложено разработчику гаджета, и в конце июля Apple выпустила патч для CVE-2024-40865 в составе сборки VisionOS 1.3.
Предыдущее обновление этой ОС (июньское 1.2) содержало заплатку для другой дыры, объявившейся в Vision Pro, — CVE-2024-27812. Недочет позволял обойти защиту виртуального пространства пользователя и вбросить в него анимированные и озвученные «страшилки» — змей, пауков, летучих мышей.
Вечерняя акция «Яндекс Банка» с обещанием 100% кешбэка обернулась для клиентов разочарованием. По словам пользователей, платёжные сервисы банка зависли ровно в разгар акции — и именно тогда, когда многие уже стояли на кассах.
Речь идёт об акции «Полный кешбэк» через «Яндекс Пэй», в рамках которой банк обещал вернуть всю сумму любой покупки, совершённой 29 декабря с 20:25 до 20:30. Пользователи заранее пришли в магазины, заняли очереди и ждали заветного времени старта.
Однако, как пишет «Хабр», уже в 20:26 операции по картам «Яндекса» перестали проходить. По словам клиентов, оплата не работала около трёх минут и восстановилась лишь ближе к концу пятиминутного окна акции. В результате часть покупателей просто не смогла воспользоваться предложением.
Почти сразу после этого форумы и каналы поддержки «Яндекса» наполнились жалобами. Пользователи писали о неработающих картах, сорванных покупках и упущенном кешбэке.
Позже «Яндекс Банк» прокомментировал ситуацию, объяснив сбой резким ростом нагрузки на системы, и принёс извинения клиентам за доставленные неудобства.
Будет ли банк как-то компенсировать неудачную акцию тем, кто не успел оплатить покупки, пока не сообщается.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
