Un grupo de investigadores ha detectado un fallo de seguridad en el casco de realidad mixta Vision Pro de Apple que les permite reconstruir las contraseñas, PIN y mensajes de los usuarios.
Bautizado como «GAZEploit», los investigadores utilizaron datos de seguimiento ocular para descifrar lo que los usuarios escribían con los ojos en el teclado virtual.
Como los avatares son visibles para los demás usuarios, los investigadores no tuvieron que piratear nada ni acceder a los auriculares del usuario, sólo estudiar los movimientos oculares de su avatar. Los avatares pueden utilizar el teclado virtual para iniciar sesión en Slack, Teams, Twitter, etc.
Todo parcheado
Los investigadores fueron capaces de predecir la colocación del teclado con una precisión impresionante, pudiendo deducir las letras correctas tecleadas en un máximo de cinco conjeturas con más del 90% de precisión en mensajes, el 77% de las veces para contraseñas y el 73% de las veces para PIN.
La vulnerabilidad se descubrió en abril, y Apple publicó un parche para solucionar el problema en julio, y el avatar ya no se mostrará cuando se esté utilizando el teclado virtual. Se dice que es el primero de este tipo, y expone cómo los datos biométricos pueden utilizarse para vigilar a los usuarios, confirmaron los investigadores,
«Estas tecnologías... pueden exponer inadvertidamente datos biométricos faciales críticos, incluidos datos de seguimiento ocular, a través de videollamadas en las que el avatar virtual del usuario refleja sus movimientos oculares».
La tecnología para llevar puesta ha dado paso a una nueva serie de problemas de privacidad para los usuarios, con más información capturada y almacenada en la vida cotidiana de las personas. Los datos sanitarios, la ubicación y la información biométrica podrían utilizarse en contra de los usuarios si cayeran en las manos equivocadas.
Fuente: Wired
