近日，苹果公司的 Vision Pro 混合现实头戴式设备曝出一个安全漏洞，一旦被黑客成功利用，他们就可以推断出用户在该设备的虚拟键盘上输入的具体数据。

该攻击活动名为 GAZEploit，该漏洞被追踪为 CVE-2024-40865。

佛罗里达大学的学者对此表示：这是一种新颖的攻击，因为攻击者可以从头像图片中推断出与眼睛有关的生物特征，从而重建通过注视控制输入的文本。GAZEploit攻击利用了用户共享虚拟化身时凝视控制文本输入的固有漏洞。

在该漏洞披露后，苹果公司在 2024 年 7 月 29 日发布的 visionOS 1.3 中解决了这一问题。据苹果描述，该漏洞影响了一个名为 “Presence ”的组件。

该公司在一份安全公告中说：虚拟键盘的输入可能是从 Persona 中推断出来的，其主要通过 “在虚拟键盘激活时暂停 Persona ”来解决这个问题。

研究人员发现，黑客可以通过分析虚拟化身的眼球运动或 “凝视”来确定佩戴该设备的用户在虚拟键盘上输入的内容，极易导致用户的隐私泄露。

假设黑客可以分析通过视频通话、在线会议应用程序或直播平台共享的虚拟化身，并远程执行按键推断，那么他们就可以利用这一点提取用户键入的密码等敏感信息。

攻击主要是通过对 Persona 记录、眼球长宽比（EAR）和眼球注视估计进行训练的监督学习模型来完成的，以区分打字会话和其他 VR 相关活动（如观看电影或玩游戏）。虚拟键盘上的注视方向会被映射到特定的按键上，以便确定潜在的击键方式，同时还考虑到键盘在虚拟空间中的位置。

研究人员表示：通过远程捕捉和分析虚拟化身视频，攻击者可以重建用户键入的按键。目前，GAZEploit 是该领域首个已知利用泄露的注视信息远程执行按键推断的攻击方式。

小琴的遭遇

近日，市民小琴（化名）遭遇了一起令人警醒的诈骗案件。她收到一个快递包裹，里面竟是一张声称能领取零食、洗衣液、现金等三重豪礼的“中秋礼品卡”。好奇心驱使下，小琴扫描了卡片上的二维码，加入了一个群聊。起初，群主发布了一些简单的任务，如搜索歌曲截图发群内，并成功让她领取到了小额红包。然而，这仅仅是诈骗的开始。

随着“任务”的深入，群主诱导小琴下载了一款名为“东方唱享”的App，并承诺通过完成宣推任务可获得丰厚奖励。小琴先后转账了1020元和13860元，期待着高额返利，却最终发现自己陷入了无底洞。直到无法提现且对方继续要求转账时，她才恍然大悟，自己已上当受骗，随即报警。

套路揭秘

1、 以邮寄方式广撒网 ：诈骗分子通过大量邮寄快递，内置领取礼品的卡片及 二维码，以此作为诱饵，广泛撒网。

2、 扫码领取福利拉入群聊 ：一旦有人出于好奇扫描二维码，便会被诱骗加入 群聊或下载指定App，通过小额返利进一步降低受害人的戒备心理。

3、 引诱刷单实施诈骗 ：在群内或App内发布刷单任务，先给予小额佣金作为 诱饵，随后引诱受害人不断加大投入，最终以各种理由拒绝提现，并要求继 续转账，直至受害人发现被骗。

警方提醒

1、 谨慎对待不明快递 ：收到不明快递时，切勿随意扫描包裹内的二维码或添加陌生人好友，特别是家中的老人和小孩更需重点提醒。

2、 警惕免费红包与返利 ：记住，任何形式的免费红包、返利都可能是诈骗的诱饵。对于需要先垫资完成任务以赢取返利的行为，务必保持高度警惕，这往往是刷单诈骗的常见手段。

3、 官方核实，求助公安 ：遇到可疑情况时，应通过官方途径进行核实，或及时联系公安机关求助，切勿轻信陌生人的诱导。

中秋佳节本是团圆和幸福的象征，让我们携手共筑防骗长城，让诈骗分子无机可乘，共同度过一个安全、愉快的节日。