Apple Vision Pro Vulnerability Exposed Virtual Keyboard Inputs to Attackers
Apple Vision Pro Vulnerability Exposed Virtual Keyboard Inputs to Attackers
Apple patches Vision Pro vulnerability after GAZEploit attack exposes keystroke inference risk via gaze tracking.
thehackernews.com
- 개요
- Apple Vision Pro 혼합 현실 헤드셋에서 가상 키보드 입력이 공격자에게 노출될 수 있는 보안 취약점이 발견됨
- 이 공격은 GAZEploit라고 불리며, CVE-2024-40865로 식별됨
- GAZEploit는 시선 추적 기반 입력을 이용하여 가상 아바타의 눈 움직임을 통해 사용자가 입력한 텍스트를 추론할 수 있음
- 취약점 설명
- 가상 아바타를 통해 눈과 관련된 생체 정보를 분석하여 시선 제어로 입력한 텍스트를 재구성할 수 있는 공격
- 이 공격을 통해 비밀번호와 같은 민감한 정보를 추출할 수 있음
- 공격자는 영상 통화, 온라인 회의 앱, 실시간 스트리밍 플랫폼 등을 통해 가상 아바타를 분석하여 원격으로 키 입력을 추론할 수 있음
- 취약점 해결
- Apple은 이 취약점을 visionOS 1.3에서 수정
- 수정 방법
- 가상 키보드가 활성화될 때 Persona(아바타) 기능을 일시 중지하여 키보드 입력이 노출되지 않도록 함
- 공격 기법
- GAZEploit 공격은 지도 학습 모델을 사용하여 아바타의 눈 움직임과 시선 추적을 기반으로 키 입력을 추론
- 연구자들은 눈의 움직임을 추적하여 사용자가 가상 키보드에서 입력한 키를 분석하고 이를 재구성하는 방법을 개발
- 보안 권장 사항
- 가상 현실 기기 사용 시 시선 추적 기능에 대한 보안 강화 필요
- 영상 통화나 온라인 미팅 중 가상 아바타의 움직임이 민감한 정보 유출로 이어질 가능성을 주의해야 함
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 클라우드 퍼스트, 보안 내재화의 필요성과 도전 과제 (3) | 2024.09.25 |
|---|---|
| AI 디지털 교과서 도입에 대한 보안 우려 (1) | 2024.09.25 |
| 사이버 안보 국가적 대응체계 마련의 필요성 (0) | 2024.09.25 |
| 테너블 나이젤 응 APJ 부사장: "공격자 관점에서 위험 노출 관리 필요성 강조" (0) | 2024.09.25 |
| 중국 해커, GeoServer 취약점 이용해 APAC 국가 대상으로 EAGLEDOOR 악성코드 공격 (1) | 2024.09.24 |