Apple corregge una grave falla di sicurezza del Vision Pro
Un gruppo di sei scienziati informatici ha recentemente scoperto una vulnerabilità di sicurezza nell’Apple Vision Pro, denominata
GAZExploit, che poteva rivelare le informazioni digitate dagli utenti, comprese password e PIN.Il problema è emerso quando gli utenti utilizzavano un avatar virtuale, o Persona, come durante le chiamate FaceTime. I ricercatori hanno dimostrato che, analizzando i movimenti oculari, era possibile dedurre quali lettere o tasti l’utente stesse per premere sulla tastiera virtuale del dispositivo.
Secondo un report pubblicato da WIRED, i ricercatori hanno osservato che lo sguardo dell’utente tende a fissarsi sui tasti che sta per premere, seguendo schemi prevedibili. Questo ha permesso loro di ricostruire il testo digitato con un’accuratezza del 92% per i messaggi e del 77% per le password, con un massimo di cinque tentativi. I dettagli tecnici del GAZExploit sono stati condivisi in un sito dedicato, illustrando la metodologia dietro l’attacco.
Il team ha segnalato la vulnerabilità ad Apple nel mese di aprile, e la compagnia ha risposto rapidamente correggendo il problema con visionOS 1.3. L’aggiornamento, rilasciato a luglio, prevede che la funzione Persona venga temporaneamente sospesa quando si utilizza la tastiera virtuale, prevenendo così eventuali attacchi.
Apple ha ufficializzato il fix il 5 settembre, includendo la vulnerabilità identificata nel proprio registro di sicurezza sotto il CVE-2024-40865, dando credito ai ricercatori delle università della Florida e del Texas, nonché a Certik, per la scoperta.
Nonostante la vulnerabilità non sia mai stata sfruttata nel mondo reale, è fortemente consigliato agli utenti del Vision Pro di aggiornare subito all’ultima versione di visionOS.
