In una recente ricerca, gli esperti hanno scoperto come individuare i tasti digitati da un utente di Apple Vision Pro sulla tastiera virtuale semplicemente analizzando il flusso video del loro avatar 3D. Utilizzando un network neurale ricorrente ed eseguendo calcoli geometrici, i ricercatori sono stati in grado di identificare con precisione il layout della tastiera e i tasti premuti, raggiungendo un tasso di successo del 92,1% nel prevedere le lettere digitate.
La tastiera virtuale di Vision Pro permette di digitare guardando semplicemente le lettere sullo schermo. Tuttavia, questa funzionalità, seppur innovativa, presenta una falla di sicurezza.
I ricercatori hanno sviluppato un sistema, chiamato "GAZEploit", in grado di analizzare i movimenti oculari dell'utente riflessi nel suo avatar virtuale (Persona) durante le videochiamate. Attraverso l'analisi dell'apertura degli occhi e della direzione dello sguardo, è stato possibile ricostruire con precisione ciò che l'utente stava digitando.
I test di laboratorio hanno dimostrato l'efficacia di GAZEploit. Pur senza conoscere le abitudini di digitazione della vittima o la posizione della tastiera, i ricercatori sono riusciti a prevedere le lettere digitate con un'accuratezza incredibile.
"Quando digitiamo, il nostro sguardo mostra schemi regolari", afferma Zihao Zhan della Texas Tech University, uno dei principali ricercatori. La frequenza del battito palpebrale dell'utente diminuisce durante la digitazione, poiché l'attenzione è maggiore rispetto ad altre attività come la navigazione web o la visione di video.
Questa scoperta solleva importanti questioni sulla privacy nell'era dei dispositivi indossabili. Con l'evoluzione tecnologica, questi dispositivi diventeranno sempre più piccoli, economici e in grado di raccogliere una quantità sempre maggiore di dati personali.
È fondamentale che gli utenti siano consapevoli dei rischi legati alla privacy e che le aziende adottino misure preventive per proteggere i dati sensibili. Come sottolinea Cheng Zhang, professore alla Cornell University, "Questo studio dimostra chiaramente un rischio specifico legato alla digitazione con lo sguardo, ma è solo la punta dell'iceberg".
"Il fatto che ora qualcuno possa esporre potenzialmente ciò che sta facendo solo tramettendo il loro Persona, rende la vulnerabilità molto più critica", spiega Alexandra Papoutsaki, professore associato di informatica al Pomona College.
L'abuso potenziale di questa vulnerabilità è significativo. I ricercatori hanno suggerito che un criminale potrebbe, teoricamente, sfruttare GAZEploit per intercettare password e accedere ad account sensibili durante una videochiamata, ad esempio, quando la vittima accede a un account Google o Microsoft.
Fortunatamente, la falla è stata segnalata ad Apple, che ha prontamente risposto con un aggiornamento software per Vision Pro alla fine di luglio. Un portavoce di Apple ha confermato la risoluzione del problema con l'aggiornamento VisionOS 1.3 che interrompe la condivisione di una "Persona" durante l'utilizzo della tastiera virtuale.
La vulnerabilità è stata registrata con il codice CVE-2024-40865, e i ricercatori hanno consigliato di scaricare gli ultimi aggiornamenti software per garantire la sicurezza.
La vicenda di Vision Pro ci ricorda che la tecnologia, seppur affascinante e utile, può nascondere insidie per la nostra privacy. È necessario un approccio responsabile e consapevole da parte di utenti e aziende per garantire un futuro tecnologico sicuro e rispettoso della privacy individuale.
