Một nhóm các nhà khoa học máy tính đã phát hiện ra một lỗ hổng bảo mật đáng kể trong thiết bị thực tế hỗn hợp Apple Vision Pro, chứng minh cách dữ liệu theo dõi mắt có thể bị khai thác để giải mã dữ liệu nhập của người dùng. Phát hiện này làm nổi bật các rủi ro về quyền riêng tư tiềm ẩn liên quan đến công nghệ sinh trắc học tiên tiến trong các thiết bị đeo.
Cuộc tấn công GAZEploit
Các nhà nghiên cứu đã phát triển một phương pháp tấn công được gọi là GAZEploit, phân tích chuyển động mắt của hình đại diện ảo của người dùng trong các cuộc gọi video hoặc phiên phát trực tuyến. Bằng cách quan sát những chuyển động này, nhóm nghiên cứu đã có thể tái tạo mật khẩu, mã PIN và tin nhắn được nhập bằng bàn phím ảo của Vision Pro với độ chính xác đáng báo động.
Những phát hiện chính của nghiên cứu GAZEploit bao gồm:
- Độ chính xác 77% trong việc đoán các ký tự mật khẩu trong vòng 5 lần thử
- Độ chính xác 92% trong việc giải mã nội dung tin nhắn
- Tỷ lệ thành công 73% đối với các mã PIN
- Độ chính xác 86,1% đối với email, URL và trang web
Cách thức hoạt động của GAZEploit
Cuộc tấn công dựa vào hai thành phần chính:
- Xác định hoạt động gõ phím bằng cách phân tích chuyển động mắt của hình đại diện 3D
- Sử dụng các tính toán hình học để xác định vị trí và kích thước của bàn phím ảo
Bằng cách kết hợp các yếu tố này, các nhà nghiên cứu có thể dự đoán các phím mà người dùng có khả năng đang gõ mà không cần truy cập trực tiếp vào thiết bị.
Ý nghĩa đối với Quyền riêng tư và Bảo mật
Lỗ hổng này làm dấy lên lo ngại về việc lạm dụng tiềm ẩn dữ liệu sinh trắc học trong công nghệ đeo. Khi các thiết bị ngày càng tích hợp vào cuộc sống hàng ngày, người dùng có thể vô tình tiết lộ thông tin nhạy cảm thông qua các tính năng tưởng chừng vô hại như theo dõi mắt.
Tiến sĩ Alexandra Papoutsaki, phó giáo sư khoa học máy tính tại Đại học Pomona, đã nhận xét về tầm quan trọng của nghiên cứu này, nói rằng, "Thực tế là hiện nay ai đó, chỉ bằng cách phát trực tuyến Persona của họ, có thể tiết lộ những gì họ đang làm, đó là lúc lỗ hổng trở nên nghiêm trọng hơn rất nhiều."
Phản hồi của Apple
Apple đã được thông báo về lỗ hổng này vào tháng 4 năm 2023 và đã phát hành bản vá lỗi vào tháng 7 như một phần của bản cập nhật VisionOS 1.3. Bản vá ngăn chặn việc chia sẻ Persona của người dùng khi bàn phím ảo đang được sử dụng, từ đó giảm thiểu hiệu quả nguy cơ rò rỉ dữ liệu theo dõi mắt.
Ý nghĩa rộng lớn hơn
Nghiên cứu GAZEploit nhấn mạnh sự cần thiết phải liên tục cảnh giác trong việc bảo vệ quyền riêng tư của người dùng khi công nghệ đeo phát triển. Nó đóng vai trò như một lời nhắc nhở rằng ngay cả những tính năng tưởng chừng vô hại cũng có thể bị khai thác theo những cách không ngờ tới.
Khi ngành công nghiệp tiến về phía trước, việc cân bằng giữa lợi ích của các công nghệ đổi mới với các biện pháp bảo mật mạnh mẽ sẽ là điều quan trọng để duy trì niềm tin của người dùng và bảo vệ thông tin nhạy cảm.