安全研究人员发现针对苹果VisionPro的GAZEploit攻击手法，通过观察用户虚拟头像眼球运动破解密码，还能窥探输入信息等

🎯GAZEploit攻击通过观察视频通话中VisionPro用户虚拟头像Persona的眼球运动来破解密码。研究人员发布演示视频，展示如何跟踪眼球运动准确检测输入密码时所注视的虚拟键盘按键

👀当VisionPro作为独立设备使用时，利用眼动追踪检测用户输入时所注视的按键。而在视频通话中，Persona的眼睛会反映用户眼睛方向，攻击者借此推断用户注视的按键

🧠研究团队开发神经网络，可判断用户是否正在打字。打字时眼睛注视方向更集中，呈周期性模式，眨眼频率降低。他们分析30名VisionPro用户眼球运动，准确率高达85.9%

💬除窃取密码外，GAZEploit还能通过视频通话窥探VisionPro用户输入的消息和网站地址

IT之家 9 月 12 日消息，近日安全研究人员发现了一种针对苹果 Vision Pro 的新型攻击手法，名为 GAZEploit，该方法通过观察用户在视频通话期间虚拟头像 Persona 的眼球运动来破解其密码。

研究人员发布了一段演示视频，展示了如何通过跟踪 Persona 的眼球运动来准确地检测 Vision Pro 用户在输入密码时所注视的虚拟键盘按键。

据IT之家了解，当 Vision Pro 作为独立设备使用时，其会显示一个大尺寸虚拟键盘，并利用眼动追踪来检测用户在输入时所注视的按键。然而，如果用户正在进行视频通话，其 Persona 的眼睛会准确地反映其自身眼睛的方向，攻击者便可以通过监控头像的眼球运动来推断用户正在注视的按键。

他们甚至还开发了一个神经网络，可以判断用户是否正在打字。在打字过程中，眼睛注视的方向往往更加集中，并呈现出周期性的模式。此外，打字期间眨眼频率也会降低。

研究团队分析了 30 名 Vision Pro 用户的眼球运动，并取得了非常高的准确率，高达 85.9%。除了窃取密码之外，GAZEploit 还可以通过视频通话窥探 Vision Pro 用户输入的消息和网站地址。