---

在科技界，每一次新技术的推出都伴随着对隐私和安全性的新挑战。Apple Vision Pro，这款备受期待的虚拟现实头戴设备，最近就被发现存在一个名为GAZEploit的新漏洞，该漏洞允许黑客通过分析用户在虚拟键盘上打字的方式窃取敏感信息。

**GAZEploit揭秘：虚拟键盘上的新威胁**

由来自佛罗里达大学、CertiK Skyfall团队和德克萨斯理工大学的研究人员共同开发的GAZEploit，正是针对这一问题的最新揭露。GAZEploit利用了Apple Vision Pro的面部追踪技术，特别是其眼动追踪功能，来猜测用户在虚拟键盘上输入的内容。

当用户佩戴虚拟或混合现实设备（如Apple Vision Pro）时，可以通过注视虚拟键盘上的按键来进行打字，而无需按压实体按钮。设备会跟踪用户的眼部运动以确定所选的字母或数字。GAZEploit的工作原理在于记录虚拟化身眼睛的动作，并通过分析这些数据来猜测用户正在输入的内容。

**攻击概述与机制**

GAZEploit通过记录用户眼睛动作的视频流，特别是眼睛的开放宽度（EAR）和视线估计，来实现这一目标。当用户在虚拟环境中打字时，他们的眨眼频率会降低，眼睛移动方式也会有所不同。GAZEploit捕捉到这些行为，并使用循环神经网络（RNN）来分析眼睛模式。

研究人员通过训练RNN，使其能够识别打字会话，并以高达98%的准确率预测用户正在输入的信息。在识别打字会话后，GAZEploit通过分析快速的眼睛移动（称为saccades）和随后的停顿（fixations）来预测按键。在测试中，该程序在预测单个按键击和识别打字活动方面分别达到了85.9%和96.8%的准确率。

**远程攻击的威胁**

由于GAZEploit能够在远程执行，攻击者仅需访问虚拟化身的眼睛动作视频即可分析并推断出用户正在输入的信息。这意味着在日常场景中，如虚拟会议、视频通话或直播时，个人敏感信息（如密码或机密消息）可能在用户不知情的情况下被窃取。

**保护措施**

为了防范像GAZEploit这样的攻击，用户应采取以下预防措施：

- 避免在虚拟现实环境中使用眼动追踪方法输入敏感信息，如密码或个人信息。- 确保软件保持最新状态，因为苹果通常会发布安全补丁来修复此类漏洞。- 调整VR/MR设备的隐私设置，限制或完全禁用不必要的眼动追踪功能，以进一步减少风险暴露。

---

### ：警惕！Apple Vision Pro现新漏洞，黑客如何窃取你的信息

Post by Jack