Pesquisadores divulgaram detalhes de uma vulnerabilidade de segurança que afetava o headset de realidade mista Apple Vision Pro. A falha, agora corrigida, poderia permitir que invasores mal-intencionados inferissem dados digitados no teclado virtual do dispositivo. O ataque, chamado de GAZEploit e identificado como CVE-2024-40865, foi descrito por um grupo de acadêmicos da Universidade da Flórida, da Equipe CertiK Skyfall e da Universidade Texas Tech. O ataque aproveitava uma vulnerabilidade no método de entrada de texto controlado por olhar (“gaze-controlled typing”), quando o usuário compartilha seu avatar virtual em atividades online.

Segundo os pesquisadores, o GAZEploit “pode inferir biometria relacionada ao olhar a partir da imagem do avatar para reconstruir o texto inserido.” Essencialmente, analisando os movimentos oculares do avatar do usuário, os invasores poderiam deduzir o que estava sendo digitado no teclado virtual do headset. Isso poderia comprometer informações sensíveis, como senhas e outros dados privados. A Apple respondeu à descoberta suspendendo a função “Persona” enquanto o teclado virtual estava ativo, eliminando assim a possibilidade de os movimentos oculares serem monitorados para inferência de texto.

A correção foi implementada na atualização visionOS 1.3, lançada em 29 de julho de 2024. O ataque é realizado utilizando um modelo de aprendizado supervisionado, treinado com gravações da função Persona, além de métricas como a proporção do aspecto do olho (EAR) e a estimativa do olhar. Dessa forma, era possível diferenciar entre sessões de digitação e outras atividades realizadas na realidade virtual, como assistir a filmes ou jogar.