コンピューターサイエンティストのチームが、 Apple の Vision Pro 複合現実ヘッドセットの重大なセキュリティ脆弱性を発見し、視線追跡データがユーザー入力を解読するために悪用される可能性を実証しました。この発見は、ウェアラブルデバイスにおける先進的な生体認証技術に関連するプライバシーリスクの可能性を浮き彫りにしています。
GAZEploit 攻撃
研究者たちは GAZEploit と呼ばれる攻撃方法を開発しました。これは、ビデオ通話やストリーミングセッション中のユーザーの仮想アバターの目の動きを分析するものです。チームはこれらの動きを観察することで、 Vision Pro の仮想キーボードを使用して入力されたパスワード、PIN、メッセージを驚くべき精度で再現することができました。
GAZEploit 研究の主な発見は以下の通りです:
- 5回の試行でパスワード文字を77%の精度で推測
- メッセージ内容を92%の精度で解読
- PINエントリーの73%の成功率
- メール、URL、ウェブページの86.1%の精度
GAZEploit の仕組み
この攻撃は主に2つの要素に依存しています:
- 3Dアバターの目の動きを分析してタイピング活動を識別する
- 幾何学的計算を使用して仮想キーボードの位置とサイズを決定する
これらの要素を組み合わせることで、研究者はデバイスに直接アクセスすることなく、ユーザーが入力している可能性の高いキーを予測することができました。
プライバシーとセキュリティへの影響
この脆弱性は、ウェアラブル技術における生体データの悪用の可能性について懸念を提起しています。デバイスが日常生活にますます統合されるにつれ、ユーザーは視線追跡のような一見無害な機能を通じて、知らず知らずのうちに機密情報を露呈する可能性があります。
Pomona College のコンピューターサイエンス准教授である Alexandra Papoutsaki 博士は、この研究の重要性について次のように述べています。「単に Persona をストリーミングするだけで、潜在的に自分が何をしているかを露呈する可能性があるという事実は、この脆弱性をより一層重大なものにしています。」
Apple の対応
Apple は2023年4月にこの脆弱性について警告を受け、7月に VisionOS 1.3 アップデートの一部としてパッチを発行しました。この修正により、仮想キーボードの使用中にユーザーの Persona の共有を防止し、視線追跡データの漏洩リスクを効果的に軽減しています。
より広範な影響
GAZEploit の研究は、ウェアラブル技術が進歩する中でユーザーのプライバシーを保護するための継続的な警戒の必要性を強調しています。一見無害な機能でさえ、予期せぬ方法で悪用される可能性があることを思い出させてくれます。
業界が前進する中で、革新的な技術の利点と堅牢なセキュリティ対策のバランスを取ることが、ユーザーの信頼を維持し、機密情報を保護するために不可欠となるでしょう。
