Bir küme araştırmacı, Apple’ın Vision Pro karma gerçeklik başlığında kullanıcıların şifrelerini, PIN’lerini ve iletilerini rsike atan bir güvenlik açığı tespit ettiklerini duyurdu. Araştırmacılar, “GAZEploit” olarak isimlendirdikleri açık sayesinde, kullanıcıların gözlerini takip ederek sanal klavyeyle ne yazdıklarını çözebildiler.
Araştırmacılar, kullanıcı avatarları öbür kullanıcılar tarafından görülebildiği için rastgele bir hack teşebbüsü yapmaya yahut kullanıcının başlığına erişim sağlamaya muhtaçlık duymadı. Bu açıktan faydalanmak için yalnızca avatarlarının göz hareketlerini incelemeleri kafiydi. Vision Pro içerisinde avatarlar, Slack, Teams, Twitter ve öbür pek çok uygulamaya giriş yapmak için sanal klavyeyi kullanabiliyor.
Araştırmacılar klavye yerleşimini etkileyici bir doğrulukla iddia edebildiler, mesajlarda %90’ın üzerinde doğrulukla, şifrelerde %77 ve PIN’lerde %73 doğruluk oranıyla yanlışsız harfleri en fazla beş varsayımla belirleyebildiler.
Açık Temmuz ayında kapatıldı
Güvenlik açığının Nisan ayında keşfedildiği ve Apple’ın Temmuz ayında sorunu düzeltmek için bir yama yayınladığı açıklandı. Artık sanal klavye kullanıldığında avatarlar görüntülenmeyecek. Araştırmacılar, bunun tipinin birinci örneği olduğu ve biyometrik bilgilerin kullanıcıları gözetlemek için nasıl kullanılabileceğini ortaya koyduğunu belirttiler: “Bu teknolojiler … kullanıcının sanal avatarının göz hareketlerini yansıttığı görüntülü görüşmeler yoluyla göz izleme verileri de dahil olmak üzere kritik yüz biyometrisini istemeden açığa çıkarabilir.”
Diğer pek çok teknoloji gelişiminde olduğu üzere, giyilebilir teknoloji de insanların günlük hayatını kolaylaştırmayı hedefliyor. Lakin bu sırada toplanabilen ve depolanabilen sıhhat dataları, pozisyonlar ve biyometrik bilgiler üzere bilgiler, yanlış ellere geçerse kullanıcılara karşı kullanılabilir.
