Apple Vision Proにキーボード入力の内容がばれる脆弱性
マイナビニュース / 2024年9月17日 17時35分
フロリダ大学、テキサス工科大学、CertiKのセキュリティ研究者たちはこのほど、「GAZEploit」において、VR( Virtual Reality)空間の仮想キーボード入力に情報漏えいの脆弱性が存在すると発表した。研究者たちは発見した攻撃手法を「GAZEploit」と名付け、詳細を論文として公開しており「[2409.08122] GAZEploit: Remote Keystroke Inference Attack by Gaze Estimation from Avatar Views in VR/MR Devices」から閲覧することができる。
○脆弱性の概要
GAZEploitは、文字入力に使用する「仮想キーボード」のサイドチャネル攻撃とされる。VRゴーグルなどを装着したユーザーは現実世界の視界を失うため、通常のキーボードによる文字入力ができない場合がある。この問題の解決策として、一部の製品では画面上に仮想キーボードを表示し、視線制御による文字入力をサポートする。
研究者たちはこの仮想キーボードの入力時にアバターの視線が動くことに着目した。ユーザーは仮想キーボード入力時に必ずキーボードのボタンを注視することになる。攻撃者はアバターの視線を分析することで、注視しているボタンを検出してキー入力を窃取する。
○影響と対策
研究者たちは、Apple Vision ProのPersona表示を使用してキー入力を窃取する実験を実施。30人の参加者のうち18人を回帰型ニューラルネットワーク(RNN: Recurrent Neural Network)の学習に使用し、残りを検証に使用した結果、90%以上の再現率を達成している。現在、視線制御による文字入力をサポートしているデバイスはApple Vision Proのみとされ、他のデバイスへの影響は低いとみられている。
発見された脆弱性は「CVE-2024-40865」として追跡されている。研究者たちから責任ある情報開示を受けたAppleは、仮想キーボード表示中にPersonaを一時停止することで解決した。修正パッチは2024年7月29日(米国時間)にリリースしたvisionOS 1.3に含まれている(参考:「About the security content of visionOS 1.3 - Apple Support」)。
(後藤大地)
外部リンク
この記事に関連するニュース
-
「iOS 18」配信開始 ホーム画面や写真アプリを刷新、「パスワード」アプリも登場
ITmedia Mobile / 2024年9月17日 8時15分
-
画像認識で暗号資産の認証情報を窃取するAndroidマルウェア発見
マイナビニュース / 2024年9月9日 9時21分
-
Androidユーザーのキャッシュカードを悪用し現金を盗む手口が明らかに
マイナビニュース / 2024年8月24日 9時5分
-
チェック・ポイント・リサーチ、2024年7月に最も活発だったマルウェアを発表 国内ではAndroxgh0st が依然首位、世界的なRemcosとRansomHubの蔓延を確認
PR TIMES / 2024年8月22日 13時45分
-
「Apple Vision Pro」を真っ先に体験した林信行氏が改めて考える「空間コンピュータ」の現在地
ITmedia PC USER / 2024年8月22日 12時30分
ランキング
-
1「きれいにまとまって終わったのに、製作者が続編を作り続けた」ゲーム……商業主義と作家性の狭間で議論を呼ぶゲームたち
Game*Spark / 2024年9月17日 13時3分
-
2飼い主さんへ“お土産”を狩ってきた猫ちゃん! 深夜3時に「ニャオ~ン」とただいまを告げる
ニコニコニュース / 2024年9月17日 11時45分
-
3普通に買い物してる!? 佐々木希、 “すっぴんノーガード状態”で地元スーパーに出没「違和感半端ない」「隠しきれない美人オーラ」
ねとらぼ / 2024年9月17日 17時0分
-
4ソニーが「Xperia 5」新機種を見送った理由 小型スマホは終焉を迎えるのか
ITmedia Mobile / 2024年9月10日 19時32分
-
55分でわかるiPhone 16/16 Proまとめ 価格に色、予約、15との違いを全部紹介!
ASCII.jp / 2024年9月16日 10時0分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください