ทีมนักวิทยาศาสตร์คอมพิวเตอร์ได้ค้นพบช่องโหว่ด้านความปลอดภัยที่สำคัญในแว่นตาผสมผสานความจริง Apple Vision Pro โดยแสดงให้เห็นว่าข้อมูลการติดตามดวงตาสามารถถูกนำไปใช้ในทางที่ผิดเพื่อถอดรหัสการป้อนข้อมูลของผู้ใช้ได้อย่างไร การค้นพบนี้ชี้ให้เห็นถึงความเสี่ยงด้านความเป็นส่วนตัวที่อาจเกิดขึ้นจากเทคโนโลยีไบโอเมตริกขั้นสูงในอุปกรณ์สวมใส่
การโจมตีแบบ GAZEploit
นักวิจัยได้พัฒนาวิธีการโจมตีที่เรียกว่า GAZEploit ซึ่งวิเคราะห์การเคลื่อนไหวของดวงตาของอวตารเสมือนจริงของผู้ใช้ระหว่างการโทรวิดีโอหรือการสตรีมมิ่ง โดยการสังเกตการเคลื่อนไหวเหล่านี้ ทีมวิจัยสามารถสร้างรหัสผ่าน PIN และข้อความที่พิมพ์โดยใช้แป้นพิมพ์เสมือนของ Vision Pro ได้อย่างแม่นยำน่าตกใจ
ผลการวิจัยที่สำคัญของ GAZEploit ได้แก่:
- ความแม่นยำ 77% ในการเดาอักขระรหัสผ่านภายใน 5 ครั้ง
- ความแม่นยำ 92% ในการถอดรหัสเนื้อหาข้อความ
- อัตราความสำเร็จ 73% สำหรับการป้อน PIN
- ความแม่นยำ 86.1% สำหรับอีเมล URL และหน้าเว็บ
GAZEploit ทำงานอย่างไร
การโจมตีนี้อาศัยองค์ประกอบหลักสองประการ:
- การระบุกิจกรรมการพิมพ์โดยวิเคราะห์การเคลื่อนไหวของดวงตาของอวตาร 3 มิติ
- การใช้การคำนวณทางเรขาคณิตเพื่อกำหนดตำแหน่งและขนาดของแป้นพิมพ์เสมือน
โดยการรวมองค์ประกอบเหล่านี้เข้าด้วยกัน นักวิจัยสามารถคาดเดาปุ่มที่ผู้ใช้กำลังพิมพ์ได้โดยไม่ต้องเข้าถึงอุปกรณ์โดยตรง
ผลกระทบต่อความเป็นส่วนตัวและความปลอดภัย
ช่องโหว่นี้สร้างความกังวลเกี่ยวกับการใช้ข้อมูลไบโอเมตริกในทางที่ผิดในเทคโนโลยีแบบสวมใส่ เมื่ออุปกรณ์เหล่านี้กลายเป็นส่วนหนึ่งของชีวิตประจำวันมากขึ้น ผู้ใช้อาจเปิดเผยข้อมูลที่ละเอียดอ่อนโดยไม่รู้ตัวผ่านฟีเจอร์ที่ดูเหมือนไม่มีพิษภัย เช่น การติดตามดวงตา
ดร. Alexandra Papoutsaki รองศาสตราจารย์ด้านวิทยาการคอมพิวเตอร์ที่ Pomona College กล่าวถึงความสำคัญของงานวิจัยนี้ว่า "ข้อเท็จจริงที่ว่าตอนนี้ใครก็ตามที่สตรีม Persona ของตนเองอาจเปิดเผยสิ่งที่พวกเขากำลังทำอยู่ นั่นคือจุดที่ช่องโหว่กลายเป็นเรื่องวิกฤติมากขึ้น"
การตอบสนองของ Apple
Apple ได้รับแจ้งเกี่ยวกับช่องโหว่นี้ในเดือนเมษายน 2023 และได้ออกแพตช์แก้ไขในเดือนกรกฎาคมเป็นส่วนหนึ่งของการอัปเดต VisionOS 1.3 การแก้ไขนี้ป้องกันการแชร์ Persona ของผู้ใช้เมื่อมีการใช้แป้นพิมพ์เสมือน ซึ่งช่วยลดความเสี่ยงของการรั่วไหลของข้อมูลการติดตามดวงตาได้อย่างมีประสิทธิภาพ
ผลกระทบในวงกว้าง
งานวิจัย GAZEploit เน้นย้ำถึงความจำเป็นในการเฝ้าระวังอย่างต่อเนื่องเพื่อปกป้องความเป็นส่วนตัวของผู้ใช้ในขณะที่เทคโนโลยีแบบสวมใส่มีความก้าวหน้า เป็นการเตือนว่าแม้แต่ฟีเจอร์ที่ดูเหมือนไม่มีอันตรายก็อาจถูกนำไปใช้ในทางที่ผิดได้อย่างไม่คาดคิด
ในขณะที่อุตสาหกรรมก้าวไปข้างหน้า การสร้างสมดุลระหว่างประโยชน์ของเทคโนโลยีที่เป็นนวัตกรรมกับมาตรการรักษาความปลอดภัยที่แข็งแกร่งจะเป็นสิ่งสำคัญในการรักษาความไว้วางใจของผู้ใช้และปกป้องข้อมูลที่ละเอียดอ่อน