Zum Hauptinhalt Zur Navigation
Abo testen Anmelden
Deals
Rack & StackSecurityWirtschaftEnergie & KlimaHardware

Ausspähen von Passwörtern: Forscher finden Eye-Tracking-Bug in Apple Vision Pro

Ein Informatikerteam hat eine Sicherheitslücke in Apples Vision Pro entdeckt, die es Angreifern ermöglicht, Passwörter, PINs und Nachrichten zu entschlüsseln.
/ Andreas Donath
1 Kommentare News folgen (öffnet im neuen Fenster)
Für Apple ist die Vision Pro ein Spatial Computer. (Bild: Apple)
Für Apple ist die Vision Pro ein Spatial Computer. Bild: Apple

Apples Eye-Tracking-Daten könnten sensible Informationen preisgeben: Eine sechsköpfige Forschergruppe hat eine Angriffsmethode namens Gazeploit entdeckt, welche die Technologie der Apple Vision Pro ausnutzt, um zu rekonstruieren, was Nutzer auf der virtuellen Tastatur eingeben. Das berichtete Wired(öffnet im neuen Fenster) .

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
Solution Architekt/-in (w/m/d) IT-Baden-Württemberg (BITBW), Stuttgart (öffnet im neuen Fenster)
(Senior) Cyber Security Exposures and Vulnerabilities Analyst (m/w/d) Schwarz IT, Neckarsulm (öffnet im neuen Fenster)
Softwareentwickler (m/w/d) SPS Beckhoff Automation GmbH & Co. KG, Verl (öffnet im neuen Fenster)
Consultant (m/w/d) für den Public Sector SGB VIII PROSOZ Herten GmbH, Herten (öffnet im neuen Fenster)
Softwareentwickler (m/w/d) SPS Beckhoff Automation GmbH & Co. KG, Verl (öffnet im neuen Fenster)
Senior Experte & Architekt-IT-Infrastruktur (m/w/d) Robert-Bosch-Krankenhaus GmbH, Stuttgart (öffnet im neuen Fenster)
(Junior) IT-Berater für Video & CCTV Lösungen für unsere Lidl und Kaufland Filialen (w/m/d) Schwarz IT, Weinsberg (öffnet im neuen Fenster)
IT Service Associate (w/m/d) für den Bereich Informationstechnik ifo Institut – Leibniz-Institut für Wirtschaftsforschung an der Universität München e.V., München (öffnet im neuen Fenster)

Durch die Analyse der Richtung der Augenbewegungen konnten sie die korrekten Buchstaben in Passwörtern in 77 Prozent der Fälle innerhalb von fünf Versuchen vorhersagen und erreichten bei Nachrichten eine Genauigkeit von 92 Prozent.

Laut Hanqiu Wang, einem der leitenden Forscher, können Angreifer anhand der Augenbewegungen eines Benutzers feststellen, welche Taste dieser gerade tippt. Dazu ist kein direkter Zugriff auf das Headset oder dessen visuelle Ausgabe erforderlich. Stattdessen werden aus der Ferne die Augenbewegungen des virtuellen Avatars eines Benutzers - einer sogenannten Persona - analysiert, den die Vision Pro durch Scannen des Gesichts des Benutzers erzeugt.

Diese Personas werden in verschiedenen Anwendungen wie Zoom, Teams, Slack und Facetime verwendet, wo sie die Augenbewegungen des Benutzers während Anrufen und Livestreams spiegeln.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Der Gazeploit-Angriff besteht aus zwei Hauptkomponenten. Zunächst entwickelten die Forscher eine Methode, um zu erkennen, wann ein Benutzer tippt. Dazu analysierten sie die Augenbewegungsmuster seines Avatars. Sie trainierten ein neuronales Netzwerk mit Aufnahmen von 30 Personen, die mit ihren Avataren tippten. Beim Tippen fixieren die Blicke der Benutzer bestimmte Tasten, bevor sie sich zur nächsten bewegen, wodurch unterschiedliche Muster entstehen.

Zudem wurden Berechnungen durchgeführt, um die Position und Größe der Tastatur zu bestimmen, wie sie vom Benutzer konfiguriert wurde. Durch die Kombination dieser Elemente konnten die Wissenschaftler die getippten Tasten vorhersagen, ohne die Tippgewohnheiten des Benutzers oder die Tastaturkonfiguration zu kennen.

Apple behebt die Sicherheitslücke

Die Forscher meldeten ihre Ergebnisse im April an Apple. Daraufhin gab Apple Ende Juli ein Softwareupdate für die Vision Pro heraus, das die Schwachstelle behob, indem es die Freigabe einer Persona verhindert, wenn die virtuelle Tastatur verwendet wird. Ein Apple-Sprecher bestätigte, dass das Problem in Vision OS 1.3 beseitigt worden sei.

Zur Startseite 1 Kommentare

Relevante Themen

AudioSecuritySicherheitslückeVerschlüsselungDatensicherheitNeuronales NetzwerkPasswortSlackTracking