2024年9月20日,頭部Web3.0安全機構CertiK自豪地宣佈,CertiK的工程師因發現Apple Vision Pro MR(混合現實)頭顯設備中的關鍵漏洞而獲得Apple公司認可,這已經是Apple公司第六次公開發布對CertiK的致謝,CertiK依舊是蘋果公開感謝次數最多的Web3.0安全機構。
(來源:https://support.apple.com/en-us/120915)
該問題由CertiK的工程師與其他5位計算機科學家共同發現,揭示了Apple Vision Pro的眼動追蹤數據如何被利用破解如密碼、PIN碼和消息在內的敏感信息。
在這項研究中,研究團隊與WIRED雜誌獨家分享了名為“GAZEploit”的攻擊方式。通過從Vision Pro記錄中提取的兩種生物特徵:眼部縱橫比(EAR)和眼動估計,分析用戶的眼動軌跡,研究人員能夠重建用戶在Vision Pro虛擬鍵盤上輸入的內容。通過觀察這些模式,團隊能夠以92%的準確率重構消息,並以77%的準確率推斷出密碼。
該漏洞最初於2024年4月報告給Apple公司,同年7月Apple發佈了軟件更新以修復該問題。這項研究展示了與新興生物識別技術相關的日益增長的隱私風險,凸顯了保護企業和用戶隱私的強大安全措施的必要性。
作為網絡安全領域的權威,CertiK始終走在保護關鍵技術和敏感數據的前沿。自2020年以來,CertiK已進行70多次白帽行動,報告4000多起安全事件,發現11.5萬多個代碼漏洞,保護了超過3600億美元的數字資產免受潛在損失,其中因發現關鍵漏洞獲得了目前為止Sui最高的漏洞賞金。通過培養信任與創新的文化,CertiK旨在樹立新的網絡安全基準,並不斷優化產品及服務,確保安全和滿足客戶的安全需求。