Apple Vision Pro : une faille corrigée permettait de voir le texte tapé depuis le clavier
- Julien Russo
- Il y a 21 jours
- 💬 2 coms
- 🔈 Écouter
Comme les autres produits Apple, le Vision Pro est parfois sujet à des failles de sécurité qui permettent à des hackers d'accéder à des informations qu'ils ne devraient pas voir. Une récente affaire a été révélée par le média Wired, les chercheurs à l'origine de la découverte se sont servis du regard du Persona de l'utilisateur pour deviner ce qu'il était en train d'écrire.
Quand le suivi oculaire se retrouve au cœur d'une faille de sécurité inattendue
Une faille de sécurité dans l'Apple Vision Pro a récemment été découverte et corrigée. Cette vulnérabilité permettait à une attaque, appelée GAZEploit, de deviner des mots de passe, des codes PIN et des messages. Grâce au suivi oculaire, des chercheurs ont démontré qu'il est possible d'exploiter ces données pour obtenir des informations confidentielles. Dans le cas de l'Apple Vision Pro, cette attaque par suivi oculaire a révélé des informations avec des taux de précision impressionnants : 77 % pour les mots de passe, 73 % pour les codes PIN et 92 % pour des messages tapés via un clavier virtuel.
L'attaque GAZEploit consistait à observer minutieusement les mouvements oculaires d'un Persona généré par l'Apple Vision Pro, sans avoir besoin d'un accès direct à l'ordinateur spatial. Grâce à un modèle d'apprentissage automatique, les chercheurs ont pu prédire avec précision les frappes de clavier en fonction des mouvements des yeux de l'utilisateur.
La vulnérabilité exploitait la position des yeux et celle du clavier virtuel utilisé par l'avatar dans des applications courantes comme Zoom ou FaceTime. En utilisant cette méthode, les chercheurs en sécurité pouvaient deviner ce que l'utilisateur tapait.
Alertée de cette faille par les chercheurs en avril 2024, Apple a rapidement réagi. En juillet 2024, une mise à jour du système d'exploitation du Vision Pro, visionOS 1.3, a été déployée pour corriger cette vulnérabilité. Désormais, en cas de conversations vidéo, le Persona n'affiche plus un suivi oculaire précis, ce qui ne permet plus aux personnes présentes dans la conversation vidéo de deviner ce qu'est en train d'écrire l'utilisateur du Vision Pro.