Recientes detalles han revelado una vulnerabilidad de seguridad en los auriculares de realidad mixta Vision Pro de Apple. Aunque ya ha sido parcheada, esta falla podría haber permitido a atacantes maliciosos inferir los datos ingresados en el teclado virtual del dispositivo.
El ataque, denominado GAZEploit, fue identificado bajo el código CVE-2024-40865. Según los investigadores de la Universidad de Florida, el equipo CertiK Skyfall y la Universidad Tecnológica de Texas, este ataque novedoso puede inferir la biometría ocular a través de la imagen del avatar para reconstruir el texto ingresado mediante la escritura controlada por la mirada.
Cómo funciona el ataque GAZEploit
El ataque GAZEploit aprovecha una vulnerabilidad en la entrada de texto controlada por la mirada, que ocurre cuando los usuarios comparten un avatar virtual. Tras la divulgación del fallo, Apple solucionó el problema en visionOS 1.3 (29 de julio de 2024), describiendo que afectaba a un componente llamado Presencia. La solución consistió en suspender la funcionalidad de Persona mientras el teclado virtual está activo.
En términos simples, los investigadores encontraron que era posible analizar los movimientos oculares de un avatar virtual para descifrar lo que el usuario estaba escribiendo, comprometiendo su privacidad. Este ataque podría explotarse en videollamadas, aplicaciones de reuniones en línea o plataformas de transmisión en vivo para extraer información confidencial, como contraseñas.
Uso de inteligencia artificial en el ataque
El ataque se lleva a cabo mediante un modelo de aprendizaje supervisado, entrenado con grabaciones de Persona y la estimación de la mirada, diferenciando entre escritura y otras actividades virtuales, como ver películas o jugar. Las direcciones de la mirada se asignan a teclas específicas del teclado virtual, lo que permite a los atacantes determinar las pulsaciones de teclas de manera remota.
Este es el primer ataque conocido que explota la información filtrada de la mirada para realizar inferencias de pulsaciones de teclas de forma remota.
Implicaciones de seguridad del ataque GAZEploit
El ataque GAZEploit destaca una preocupante vulnerabilidad en los dispositivos de realidad aumentada y virtual, específicamente aquellos que dependen de la escritura controlada por la mirada. Esta tecnología, que debería mejorar la accesibilidad y la interacción en entornos virtuales, también introduce nuevos riesgos para la privacidad de los usuarios.
Los actores de amenazas podrían utilizar esta técnica en diversos entornos donde se emplean avatares virtuales compartidos, como en plataformas de videollamadas, aplicaciones de realidad mixta o juegos multijugador. La capacidad de inferir pulsaciones de teclas sin el conocimiento del usuario representa un riesgo significativo, ya que podría derivar en el robo de información sensible, como credenciales de acceso, información financiera o cualquier dato privado ingresado en un teclado virtual.
Protecciones implementadas por Apple
Tras la identificación del fallo, Apple actuó rápidamente para abordar el problema. En la actualización de visionOS 1.3, se implementaron medidas de seguridad que suspenden la función de Persona cuando se utiliza el teclado virtual, bloqueando así cualquier posible explotación de los movimientos oculares mientras se ingresa texto.
Apple ha recomendado a todos los usuarios de Vision Pro que actualicen a la última versión de visionOS para protegerse de esta vulnerabilidad. Además, este caso resalta la importancia de la seguridad proactiva en dispositivos de realidad aumentada y mixta, donde las nuevas tecnologías pueden presentar nuevos vectores de ataque que no habían sido considerados antes.
En fin, el ataque GAZEploit es una advertencia sobre los riesgos que pueden surgir con el desarrollo de tecnologías avanzadas de realidad mixta. Aunque Apple ha solucionado esta vulnerabilidad, el caso subraya la necesidad de seguir vigilando y mejorando la seguridad en dispositivos de realidad virtual y aumentada. A medida que estos dispositivos se vuelven más comunes, los fabricantes deben anticiparse a posibles fallos y reforzar las medidas de protección para garantizar la privacidad y seguridad de los usuarios.
Fuente: The Hacker News