研究发现，苹果 Vision Pro 的眼动输入可泄露密码

近日，安全研究人员成功发现了一种针对苹果Vision Pro的新型攻击手法——GAZEploit。该方法利用用户在视频通话期间虚拟头像Persona的眼球运动来破解其密码。

为了演示这一攻击手法的有效性，研究人员制作了一段视频。视频展示了如何通过观察Persona眼球运动来准确检测Vision Pro用户输入密码时所注视的虚拟键盘按键。

据了解，当Vision Pro单独使用时，会显示一个大尺寸虚拟键盘，并利用眼动追踪技术来检测用户在输入时所注视的按键。然而，如果用户正在进行视频通话，Persona眼睛的移动能够精准地反映出自身眼睛的实际方向，使得攻击者能够通过监视头像眼球运动来推测用户正在注视什么位置。

同时，在开发过程中他们还引入了一个神经网络模型以判断用户是否正在打字。打字过程中，人眼的聚焦程度往往更加集中，并呈现出周期性模式；此外，在打字期间眨眼频率也会降低。

研究团队分析了30名Vision Pro用户的脑部活动扫描结果，并取得了非常高的准确率，达到85.9%。除了窃取密码外，GAZEploit还可以通过视频通话窥探Vision Pro用户输入的消息和网站地址等敏感信息。