- Die Augen eines Menschen können nicht nur Müdigkeit und Stimmung preisgeben, sondern auch Passwörter, PINs und Nachrichten, die eingegeben werden.
- Eine neue Angriffsmethode auf Mixed-Reality-Headsets nutzt Eye-Tracking-Daten, um Eingaben auf der virtuellen Tastatur zu entschlüsseln.
- Forscher haben gezeigt, dass sie Passwörter und Nachrichten mit hoher Genauigkeit durch Analyse der Blickrichtung rekonstruieren können.
- Ein von Apple veröffentlichtes Patch soll das potenzielle Datenleck in der Vision Pro Technologie verhindern und die Sicherheit erhöhen.
- Die Forschung unterstreicht die Notwendigkeit von Maßnahmen zum Schutz persönlicher Daten in der zunehmenden Nutzung von tragbaren Technologien.
Die Augen eines Menschen können weitaus mehr Informationen preisgeben, als auf den ersten Blick ersichtlich ist. Sie offenbaren nicht nur Müdigkeit und Stimmung, sondern bieten auch Hinweise auf gesundheitliche Probleme. Doch das ist noch nicht alles: Ihre Augen könnten sogar geheimere Informationen preisgeben, wie Passwörter, PINs und Nachrichten, die Sie eingeben.
Heute präsentiert eine Gruppe von sechs Computerwissenschaftlern eine neue Angriffsmethode auf Mixed-Reality-Headsets, bei der exponierte Eye-Tracking-Daten genutzt werden, um die Eingaben auf der virtuellen Tastatur des Geräts zu entschlüsseln. Der Bericht, der exklusiv mit WIRED geteilt wurde, zeigt, wie die Forscher in der Lage waren, erfolgreich Passwörter, PINs und Nachrichten zu rekonstruieren, die Nutzer mit ihren Augen eingegeben hatten. „Anhand der Blickrichtung kann der Angreifer bestimmen, welche Taste das Opfer gerade tippt“, erklärt Hanqiu Wang, einer der führenden Forscher dieser Arbeit. In 77 Prozent der Fälle gelang es ihnen, die korrekten Buchstaben der Passwörter innerhalb von fünf Versuchen zu identifizieren und in 92 Prozent der Fälle bei Nachrichten.
Gefahr der Augendaten
Die Forscher hatten keinen direkten Zugang zu Apple’s Headset, um zu sehen, was die Nutzer ansahen. Stattdessen analysierten sie die Augenbewegungen eines virtuellen Avatars, der von Vision Pro erstellt wurde. Dieser Avatar kann in Zoom-Anrufen, Teams, Slack, Reddit, Tinder, Twitter, Skype und FaceTime verwendet werden. Im April informierten die Forscher Apple über die Sicherheitslücke und das Unternehmen veröffentlichte Ende Juli ein Patch, um das potenzielle Datenleck zu verhindern. Es ist der erste Angriff, der die „Blick“ Daten der Nutzer auf diese Weise ausnutzt.
Ihre Augen sind wie eine Maus, wenn Sie Vision Pro verwenden. Beim Tippen schaut man auf eine virtuelle Tastatur, die bewegt und angepasst werden kann. Es bleibt alles innerhalb des Headsets, aber wenn Sie beispielsweise Zoom oder FaceTime verwenden, könnte ein Persona — die Art von Avatar, die Vision Pro erstellt — verwendet werden. Bei dieser Technologie besteht die Gefahr, dass wichtige biometrische Daten, einschließlich Eye-Tracking-Daten, durchsickern könnten, wenn der virtuelle Avatar die Augenbewegungen des Nutzers widerspiegelt.
GAZEploit: Eine neue Bedrohung
Das GAZEploit-Angriff besteht aus zwei Teilen, erklärt Zihao Zhan, einer der führenden Forscher. Zunächst entwickelten die Forscher eine Methode, um festzustellen, wann jemand die Vision Pro Tastatur verwendet, indem sie den 3D-Avatar analysierten. Sie trainierten ein rekurrentes neuronales Netzwerk mit Aufzeichnungen von 30 Personen, die verschiedene Tipping-Aufgaben ausführten. Wenn das Vision Pro zum Tippen genutzt wird, fixiert sich der Blick des Nutzers auf die jeweilige Taste, bevor er schnell zur nächsten Taste wechselt. “Während des Tippens zeigen unsere Augen regelmäßige Muster”, sagt Zhan. Diese Muster sind häufiger beim Tippen als beim Surfen im Internet oder beim Videowatchen mit dem Headset.
Die zweite Komponente der Forschung verwendet geometrische Berechnungen, um herauszufinden, wo jemand die Tastatur positioniert hat und welche Größe sie hat. „Die einzige Voraussetzung ist, ausreichende Informationen über den Blick zu erhalten, die eine genaue Rekonstruktion der Tastatur ermöglichen.“ In verschiedenen Labortests konnten die Forscher die getippten Buchstaben mit einer Genauigkeit von 92,1 Prozent bei Nachrichten, 77 Prozent bei Passwörtern, 73 Prozent bei PINs und 86,1 Prozent bei E-Mails, URLs und Webseiten vorhersagen — und das ohne Kenntnisse über die Tippgewohnheiten der Opfer, deren Geschwindigkeit oder die Position der Tastatur.
Sicherheit und Datenschutz
Die GAZEploit-Forscher meldeten ihre Erkenntnisse im April an Apple und schickten dem Unternehmen ihren Proof-of-Concept-Code, damit die Attacke reproduziert werden konnte. Apple behob den Fehler in einem Vision Pro Software-Update Ende Juli, das die Teilung eines Persona verhindert, wenn jemand die virtuelle Tastatur verwendet. Laut Aussage eines Apple-Sprechers wurde die Sicherheitslücke in VisionOS 1.3 behoben.
Diese Forschung zeigt erneut, wie empfindlich personenbezogene Daten unbeabsichtigt offengelegt werden können. In den letzten Jahren haben Strafverfolgungsbehörden damit begonnen, die Vision Pro Technologie auszuprobieren, was Bedenken hinsichtlich Datenschutz und Überwachung verstärkt. Da tragbare Technologien immer kleiner, günstiger und informationsreicher werden, rücken diese Probleme weiter in den Vordergrund. „Während diese Technologien für positive Zwecke entwickelt wurden, müssen wir uns auch der Datenschutzproblematik bewusst sein und Maßnahmen ergreifen, um potenzielle Risiken für zukünftige Generationen von Alltags-Wearables zu mindern.“
