Maak je klaar voor de NIS2-richtlijn

Partner worden?
Nieuwsbericht

Beveiligingslek in Apple Vision Pro: zo werd virtuele invoer mogelijks blootgesteld aan hackers

Datum: 16 september 2024

Apple’s innovatieve Vision Pro heeft een belangrijk beveiligingsprobleem gehad, dat inmiddels is opgelost. Het ging om een kwetsbaarheid die werd blootgelegd door een team van onderzoekers van verschillende universiteiten, waaronder de University of Florida en Texas Tech University. De kwetsbaarheid, die de naam GAZEploit kreeg, maakte het mogelijk voor aanvallers om in te breken in de privacy van gebruikers door hun virtuele toetsenbordinvoer te reconstrueren.

De aanvallen waren mogelijk omdat de Vision Pro gebruikmaakt van gaze-controlled typing, waarbij het toetsenbord wordt bediend via oogbewegingen. Aanvallers konden deze oogbewegingen van de virtuele avatar van een gebruiker analyseren, en op die manier nauwkeurig bepalen welke toetsen werden ingedrukt. Dit had mogelijk rampzalige gevolgen voor de veiligheid van persoonlijke gegevens, aangezien gevoelige informatie zoals wachtwoorden kon worden onderschept.

Hoe werkte de GAZEploit-aanval?

De GAZEploit-aanval maakte gebruik van geavanceerde technologieën, waaronder eye-tracking en biometrische gegevens, om oogbewegingen te interpreteren. Het gebruikte een supervised learning model dat was getraind om onderscheid te maken tussen typen en andere activiteiten, zoals het bekijken van video’s of het spelen van games. Door dit model te combineren met gegevens over de positie van het virtuele toetsenbord, kon de aanval worden ingezet om toetsaanslagen te reconstrueren en deze op afstand te lezen.

Wat deze aanval extra zorgwekkend maakte, is dat deze mogelijk kon worden uitgevoerd zonder dat de gebruiker dit doorhad. Wanneer een gebruiker bijvoorbeeld een videogesprek voerde of een online meeting bijwoonde, konden de oogbewegingen van hun avatar worden geanalyseerd door een aanvaller die de gegevens op afstand onderschepte. Dit creëerde een volledig nieuwe aanvalsvector binnen de wereld van mixed reality en virtual reality.

Apple’s reactie en oplossing

Apple reageerde snel op de ontdekking van deze kwetsbaarheid. Het probleem werd geïdentificeerd in een component genaamd Presence, dat verantwoordelijk was voor de weergave van de virtuele avatar tijdens activiteiten zoals het typen op het virtuele toetsenbord. Apple bracht een patch uit met de update van visionOS 1.3 op 29 juli 2024, waarbij het probleem werd opgelost door de Persona-functionaliteit tijdelijk uit te schakelen zodra het virtuele toetsenbord in gebruik was.

Deze patch heeft de kwetsbaarheid effectief gedicht, waardoor de mogelijkheid voor aanvallers om toetsaanslagen af te leiden via avatar-oogbewegingen is geëlimineerd. Apple adviseert gebruikers die nog niet hebben bijgewerkt naar de nieuwste versie van het besturingssysteem om dit zo snel mogelijk te doen om hun apparaat en gegevens te beschermen tegen potentiële aanvallen.

Implicaties voor de toekomst van mixed reality beveiliging

De ontdekking van de GAZEploit-aanval benadrukt een belangrijk probleem binnen de beveiliging van virtual reality en augmented reality apparaten. Naarmate technologieën zoals de Apple Vision Pro steeds geavanceerder worden, zullen ook de beveiligingsuitdagingen toenemen. Het gebruik van biometrische gegevens, zoals oogbewegingen, introduceert nieuwe risico’s die specifiek zijn voor deze technologische ontwikkelingen. Terwijl traditionele cyberaanvallen vaak gericht zijn op wachtwoorden, hardware of software, richt GAZEploit zich op een geheel nieuwe set gegevens: de biometrische interacties van gebruikers met hun apparaten.

Wat kunnen gebruikers doen om zichzelf te beschermen?

Hoewel Apple het specifieke probleem van GAZEploit heeft aangepakt, zijn er enkele algemene voorzorgsmaatregelen die gebruikers kunnen nemen om hun apparaten te beveiligen:

  1. Altijd up-to-date blijven: Zorg ervoor dat je altijd de nieuwste versie van software en beveiligingsupdates installeert. Apple heeft visionOS 1.3 uitgebracht om dit specifieke probleem op te lossen, maar toekomstige updates kunnen andere potentiële kwetsbaarheden aanpakken.
  2. Beperk gedeelde content: Wees voorzichtig met wat je deelt tijdens videovergaderingen of livestreams. Hoewel de kwetsbaarheid in avatars nu is verholpen, blijft het belangrijk om bewust om te gaan met de inhoud die je verspreidt.
  3. Vertrouw op beveiligingsexperts: Wanneer je een mixed reality headset zoals de Apple Vision Pro gebruikt in een professionele omgeving, overweeg dan om gespecialiseerde beveiligingsexperts in te schakelen om je systeem te laten auditen.

Conclusie

De GAZEploit-aanval laat zien hoe kwetsbaar nieuwe technologieën kunnen zijn, zelfs als ze afkomstig zijn van gerenommeerde bedrijven zoals Apple. Hoewel deze specifieke kwetsbaarheid nu is verholpen, benadrukt het de noodzaak van voortdurende waakzaamheid en innovatie op het gebied van cyberbeveiliging, vooral binnen de snel evoluerende wereld van mixed reality. Het is van cruciaal belang dat zowel bedrijven als consumenten zich bewust blijven van de risico’s en proactieve stappen ondernemen om hun digitale veiligheid te waarborgen.

Gerelateerde nieuwsberichten

Datum: 18 juni 2024

Cybersecurity blijft een uitdaging voor kmo’s

Uit onderzoek van UNIZO blijkt dat zes op tien kmo’s in Vlaanderen en Brussel niet digitaal fit zijn. Dit gebrek aan digitale fitheid maakt hen kwetsbaar voor cyberaanvallen en belemmert hun efficiëntie.

Datum: 23 januari 2024

FBI ontmantelt Chinese hackpogingen op Amerikaanse infrastructuur

De FBI heeft een door de Chinese staat gesponsorde hackgroep genaamd “Volt Typhoon” ontmanteld. Deze groep richtte zich op kritieke infrastructuur in de VS, waaronder het elektriciteitsnet en pijpleidingen.

Datum: 4 mei 2024

Melissa helpt ransomware-aanvallen van Cactus voorkomen

Dankzij het samenwerkingsverband Melissa zijn bijna 3000 potentiële ransomware-slachtoffers wereldwijd geholpen. Melissa analyseerde de werkwijze van de ransomwaregroep Cactus en deelde deze informatie.
Bekijk alle nieuwsberichten
Mathieu Verschraege begon zijn professionele carrière in het onderwijs als ICT-coördinator en leraar informatica en wiskunde in het secundair onderwijs. Na vijf jaar als ICT-medewerker in het hoger onderwijs, maakte hij in 2013 een opmerkelijke carrièrewending naar de politie. Hier diende hij eerst twee jaar in interventie en twee jaar in functioneel beheer, waarna hij zijn ware roeping vond als cybercrimerechercheur en digitaal forensisch onderzoeker bij de Local Computer Crime Unit Recherche PZ Waasland-Noord. Zijn expertise breidde zich verder uit toen hij ook cybercrime- en zedenrechercheur werd bij de Recherche PZ Regio Puyenbroeck.
 
De unieke combinatie van zijn onderwijservaring en recherchewerk inspireerde Mathieu om in 2022 het bedrijf Mediavista op te richten. Met Mediavista reist hij door heel Vlaanderen om lezingen en workshops over cybercrimepreventie te geven. Zijn doelgroepen variëren van leerlingen, onderwijsprofessionals en ouders tot bedrijven en lokale verenigingen.
 
Mathieus kennis en enthousiasme hebben hem een gewilde spreker gemaakt op prestigieuze evenementen en conferenties. Zo trad hij op als moderator tijdens de Brussels Cybersecurity Summit in het kader van het Belgisch voorzitterschap van de Raad van de Europese Unie. Daarnaast was hij panellid op het stakeholderevent van Febelfin en de Federale Diensten van de Gouverneurs van Antwerpen en Vlaams-Brabant en op diverse andere events rond cyberveiligheid. Zijn expertise wordt regelmatig gevraagd door VRT NWS en VRT Radio 1, waar hij toelichting geeft bij actuele onderwerpen rondom cybercriminaliteit.
 
Met zijn diepgaande kennis en praktische ervaring is Mathieu de expert op het gebied van cybercrimepreventie in Vlaanderen. Of het nu gaat om een lezing, workshop of mediaoptreden, Mathieu weet complexe cyberveiligheidskwesties toegankelijk en begrijpelijk te maken voor iedereen.