研究者らがApple Vision Proに重大なセキュリティ上の欠陥を発見しました。GAZEploitと呼ばれるこの脆弱性により、ハッカーは仮想キーボード使用中のユーザーの視線の動きを解析することで、Vision Proのパスワードやその他のパスワード、PIN、メッセージを解読することが可能になります。

この攻撃は、Vision ProのPersona（ビデオ通話やストリーミング用の3Dアバターを作成する機能）を通じて公開された視線追跡データを悪用します。研究者たちはアバターの目の動きを観察することで、入力された情報を驚くべき精度で再現することができました。パスワードは77%、メッセージは5回以内で92%の精度です。

GAZEploitは機械学習を用いて眼球運動パターンに基づいてタイピングセッションを識別し、視線の方向を仮想キーボードのキーにマッピングします。最大の懸念点は、この手法はデバイスへの直接アクセスを必要としないことです。そのため、ビデオ通話やライブ配信中にPersonaを使用している人にとって、現実的な脅威となります。

Appleは2024年7月にリリースされたvisionOS 1.3でこの脆弱性を修正しました。この修正により、仮想キーボードがアクティブなときにPersona機能が無効になります。まだVision Proを最新バージョンにアップデートしていない場合は、アップデートを強くお勧めします。インストール方法は次のとおりです。

問題が解決されたのは良いことですが、常に新しい問題が起こります。

詳細はこちら。