Teknologi pelacakan mata Apple Vision Pro menawarkan cara baru untuk berinteraksi dengan mengetik, tetapi peretas sudah memanfaatkannya untuk mencuri informasi sensitif. Berikut ini hal-hal yang perlu Anda ketahui untuk melindungi data Anda.
Teknologi baru selalu disertai dengan kerentanan baru. Salah satu kerentanan tersebut, GAZEploit, membuat pengguna rentan terhadap potensi pelanggaran privasi pada panggilan FaceTime Apple Vision Pro.
Eksploitasi GAZE, dikembangkan oleh Peneliti dari Universitas Florida, Tim CertiK Skyfall, dan Universitas Teknologi Texas, menggunakan data pelacakan mata dalam realitas virtual untuk menebak apa yang sedang diketik pengguna.
Saat pengguna menggunakan perangkat realitas virtual atau realitas campuran, seperti Visi Apple Promereka dapat mengetik dengan melihat tombol pada papan ketik virtual. Alih-alih menekan tombol fisik, perangkat tersebut melacak gerakan mata untuk menentukan huruf atau angka yang dipilih.
Tinjauan umum serangan
Keyboard virtual adalah tempat GAZEploit berperan. Ia menganalisis data dari gerakan mata dan menebak apa yang diketik pengguna.
GAZEploit bekerja dengan merekam gerakan mata avatar virtual pengguna. Aplikasi ini berfokus pada rasio aspek mata (EAR), yang mengukur seberapa lebar mata seseorang terbuka, dan estimasi tatapan mata, yang melacak dengan tepat ke mana mereka melihat di layar.
Dengan menganalisis faktor-faktor ini, peretas dapat menentukan kapan pengguna mengetik dan bahkan menunjukkan tombol spesifik yang mereka pilih.
Saat pengguna mengetik di VR, mata mereka bergerak dengan cara tertentu dan lebih jarang berkedip. GAZEploit mendeteksi hal ini dan menggunakan program pembelajaran mesin yang disebut jaringan saraf berulang (RNN) untuk menganalisis pola mata ini.
Para peneliti melatih RNN dengan data dari 30 orang yang berbeda dan berhasil mengidentifikasi sesi pengetikan secara akurat hingga 98% sepanjang waktu.
Menebak penekanan tombol yang tepat
Setelah sesi mengetik teridentifikasi, GAZEploit memprediksi penekanan tombol dengan menganalisis gerakan mata cepat, yang disebut gerakan mata cepat, diikuti oleh jeda, atau fiksasi, saat mata tertuju pada tombol. Serangan tersebut mencocokkan gerakan mata ini dengan tata letak papan ketik virtual, untuk mengetahui huruf atau angka yang sedang diketik.
GAZEploit dapat mengidentifikasi tombol yang dipilih secara akurat dengan menghitung stabilitas tatapan selama fiksasi. Dalam pengujian mereka, para peneliti melaporkan akurasi 85,9% dalam memprediksi penekanan tombol individual dan mengingat hampir sempurna 96,8% dalam mengenali aktivitas mengetik.
Karena serangan dapat dilakukan dari jarak jauh, penyerang hanya perlu mengakses rekaman video avatar untuk menganalisis gerakan mata dan menyimpulkan apa yang sedang diketik.
Akses jarak jauh berarti bahwa bahkan dalam skenario sehari-hari seperti rapat virtual, panggilan video, atau streaming langsung, informasi pribadi seperti kata sandi atau pesan sensitif dapat dibobol tanpa sepengetahuan pengguna.
Cara melindungi diri Anda dari Gazeploit
Untuk melindungi diri dari potensi serangan seperti GAZEploit, pengguna harus mengambil beberapa tindakan pencegahan. Pertama, mereka harus menghindari memasukkan informasi sensitif, seperti kata sandi atau data pribadi, menggunakan metode pelacakan mata dalam lingkungan realitas virtual (VR).
Sebaliknya, lebih aman menggunakan keyboard fisik atau metode input aman lainnya. Memperbarui perangkat lunak juga penting, karena Apple sering merilis patch keamanan untuk memperbaiki kerentanan.
Terakhir, menyesuaikan pengaturan privasi pada perangkat VR/MR untuk membatasi atau menonaktifkan pelacakan mata saat tidak diperlukan dapat lebih mengurangi paparan risiko.
