GAZEploit: cuando un solo vistazo revela todos los secretos y contraseñas a los piratas informáticos

GAZEploit: cuando un solo vistazo revela todos los secretos y contraseñas a los piratas informáticos

Los propietarios de Apple Vision Pro ni siquiera pensaron que serían tan fáciles de piratear.

image

En el casco de realidad mixta Apple Vision Pro, recientemente se descubrió una vulnerabilidad que permite a los atacantes leer datos del teclado virtual. El ataque, llamado GAZEploit, está registrado como CVE-2024-40865, aunque su calificación exacta en la escala CVSS aún no se ha determinado.

La base del ataque fue la capacidad de un posible atacante para analizar los movimientos oculares del usuario a través de un avatar virtual que se utiliza al interactuar con el dispositivo. Si el atacante obtiene acceso a la imagen del avatar, puede determinar qué símbolos se están escribiendo en el teclado virtual, lo que abre la posibilidad de robar datos confidenciales.

Apple ya solucionó el problema en la actualización de visionOS 1.3, lanzada el 29 de julio de 2024. La vulnerabilidad estaba relacionada con un componente llamado Presence, que gestiona los avatares en el sistema. Según Apple, el problema se resolvió suspendiendo temporalmente el funcionamiento del avatar durante la introducción de datos en el teclado virtual.

El ataque fue posible gracias al uso de un modelo de IA entrenado que analizaba los registros del avatar, así como los movimientos oculares del usuario, para identificar los momentos en que se introducían datos en el teclado virtual. Luego, el algoritmo vinculaba la dirección de la mirada con teclas específicas en el teclado, lo que permitía reconstruir el texto.

Los investigadores señalaron que GAZEploit es el primer ataque conocido de este tipo que utiliza la información de los movimientos oculares para recuperar remotamente los datos introducidos.

Este caso demuestra lo importante que es la seguridad en los nuevos desarrollos y tecnologías, donde incluso una simple mirada puede convertirse en una herramienta para ataques cibernéticos. La protección de los datos personales en la realidad virtual se está convirtiendo en una tarea de importancia crítica, y el incidente con GAZEploit subraya la necesidad de abordar rápidamente estas amenazas para que los usuarios puedan sentirse seguros en los espacios digitales del futuro.

Las huellas digitales son tu debilidad, y los hackers lo saben

¡Suscríbete y descubre cómo borrarlas!