CVE-2024-8696
Jue, 12/09/2024 – 18:15
CVE-2024-8696
CVE-2024-8695
Jue, 12/09/2024 – 18:15
CVE-2024-8695
El ataque GAZEploit consta de dos partes, explica Zhan. En primer lugar, los investigadores crearon una forma de identificar cuándo alguien que lleva las Vision Pro está tecleando analizando el avatar 3D que comparte. Para ello, entrenaron una red neuronal recurrente, un tipo de modelo de aprendizaje profundo, con grabaciones de los avatares de 30 personas mientras completaban diversas tareas de mecanografía.
De acuerdo con ellos, cuando alguien teclea con las gafas puestas, su mirada se fija en la tecla que probablemente va a pulsar, antes de pasar rápidamente a la siguiente. «Cuando estamos tecleando, nuestra mirada muestra algunos patrones regulares», puntualiza Zhan.
Según Wang, estos patrones son más frecuentes al teclear que al navegar por una página web o ver un video con las Vision Pro: «En tareas como teclear con la mirada, la frecuencia del parpadeo disminuye porque estamos más concentrados». En resumen: mirar un teclado QWERTY y moverse entre las letras es un comportamiento bastante distinto.
La Policía de Colombia habría pagado 11 millones por Pegasus, un programa usado para espiar a políticos, activistas y periodistas en varios países.
La segunda parte de la investigación, explica Zhan, utiliza cálculos geométricos para averiguar dónde ha colocado alguien el teclado y el tamaño que le ha dado. «El único requisito es que, siempre que obtengamos suficiente información de la mirada que permita recuperar con precisión el teclado, se podrán detectar todas las pulsaciones siguientes».
Combinando estos dos elementos, fueron capaces de predecir las teclas que probablemente estaría tecleando alguien. En una serie de pruebas de laboratorio, no conocían los hábitos de tecleo de la víctima, ni su velocidad, ni sabían dónde estaba colocado el teclado. Sin embargo, los investigadores pudieron predecir las letras correctas, en un máximo de cinco intentos, con un 92.1% de precisión en mensajes, 77% de las veces en contraseñas; un 73% de las veces en PIN y un 86.1% de las ocasiones en correos electrónicos, URL y sitios online. En la primera suposición, las letras acertarían entre el 35 y el 59% de las veces, dependiendo del tipo de información que estuvieran intentando averiguar. Las letras duplicadas y los errores tipográficos añaden retos adicionales.
«Es muy potente saber dónde está mirando alguien», confiesa Alexandra Papoutsaki, profesora asociada de informática en el Pomona College, quien lleva años estudiando el seguimiento ocular y revisó la investigación GAZEploit para WIRED.
De acuerdo con Papoutsaki el trabajo destaca por basarse únicamente en el video de la Persona de alguien, lo que lo convierte en un espacio más «realista» para que se produzca un ataque en comparación con un hacker que intente acceder a los datos de seguimiento ocular de un par de Vision Pro. «Que alguien, simplemente transmitiendo su Persona, pueda exponer lo que está haciendo es lo que vuelve esta vulnerabilidad mucho más crítica».
Aunque el ataque se creó en un laboratorio y no se ha utilizado contra nadie que utilice Personas en el mundo real, los investigadores afirman que hay formas en las que los hackers podrían haber abusado de la filtración de datos. Dicen que, al menos en teoría, un delincuente podría compartir un archivo con una víctima durante una llamada de Zoom, lo que por ejemplo, le llevaría a iniciar sesión en una cuenta de Google o Microsoft. El atacante podría entonces grabar la Persona mientras su objetivo inicia sesión y utilizar el método de ataque para recuperar su contraseña y acceder a su cuenta.
Las gafas de realidad mixta de Apple son imposibles de ignorar y pueden ser un verdadero dolor de cabeza entre parejas.
Los investigadores de GAZEploit comunicaron sus hallazgos a Apple en abril y posteriormente enviaron a la empresa su código de prueba de concepto para que se pudiera reproducir el ataque. A finales de julio, la gigante corrigió el fallo en una actualización del software de las Vision Pro, que impide usar una Persona si alguien está tecleando virtualmente.
Un portavoz de Apple corroboró que se había corregido la vulnerabilidad en VisionOS 1.3. Las notas de actualización del software no mencionan la solución. Los investigadores aseguran que Apple ha asignado el código CVE-2024-40865 a esta vulnerabilidad y recomienda a los usuarios que descarguen las últimas actualizaciones.
El PCC forma parte del programa de recompensas por fallos de Apple, y las vulnerabilidades o configuraciones erróneas que encuentren los investigadores podrían optar a recompensas en metálico. Apple dice, sin embargo, que desde que la beta de iOS 18.1 estuvo disponible a finales de julio, nadie ha encontrado todavía ningún fallo en PCC. La compañía reconoce, no obstante, que hasta ahora solamente ha puesto las herramientas para evaluar PCC a disposición de un selecto grupo de investigadores.
Varios investigadores de seguridad y criptógrafos señalan a WIRED que Private Cloud Compute parece prometedor, pero que aún no han dedicado mucho tiempo a investigarlo.
«Construir servidores de silicio de Apple en el centro de datos cuando antes no teníamos ninguno, construir un sistema operativo personalizado para que funcionara en el centro de datos fue enorme», destaca Federighi. Y añade que «crear el modelo de confianza por el que tu dispositivo se negará a emitir una petición a un servidor a menos que la firma de todo el software que ejecuta el servidor se haya publicado en un registro de transparencia fue sin duda uno de los elementos más singulares de la solución, y totalmente crítico para el modelo de confianza.»
A las preguntas sobre la asociación de Apple con OpenAI y la integración de ChatGPT, la empresa subraya que las asociaciones no están cubiertas por el PCC y funcionan por separado. ChatGPT y otras integraciones están desactivadas por defecto, y los usuarios deben activarlas manualmente. Entonces, si Apple Intelligence determina que una solicitud podría satisfacerse mejor mediante ChatGPT u otra plataforma asociada, se lo notifica al usuario cada vez y le pregunta si desea continuar. Además, los usuarios pueden utilizar estas integraciones mientras están conectados a su cuenta de un servicio asociado como ChatGPT o pueden utilizarlas a través de Apple sin conectarse por separado. Apple anunció en junio que también se está trabajando en otra integración con Gemini de Google.
Apple dijo esta semana que, además de lanzarse en inglés en Estados Unidos, Apple Intelligence llegará a Australia, Canadá, Nueva Zelanda, Sudáfrica y el Reino Unido en diciembre. La compañía también ha dicho que el año que viene se ofrecerá soporte en otros idiomas, como chino, francés, japonés y español. Si eso significa que Apple Intelligence estará permitida por la Ley de Inteligencia Artificial de la Unión Europea y si Apple podrá ofrecer PCC en su forma actual en China, es otra cuestión.
«Nuestro objetivo es traer idealmente todo lo que podamos para proporcionar las mejores capacidades a nuestros clientes en todas partes que podamos», explica Federighi. «Pero tenemos que cumplir con las regulaciones, y hay incertidumbre en ciertos entornos que estamos tratando de resolver para que podamos llevar estas características a nuestros clientes tan pronto como sea posible. Así que lo estamos intentando».
Añade que, a medida que la compañía amplíe su capacidad para realizar más cálculos de Apple Intelligence en el dispositivo, es posible que pueda utilizar esto como una solución en algunos mercados.
Aquellos que consigan acceder a Apple Intelligence tendrán la posibilidad de hacer mucho más de lo que podían hacer con versiones anteriores de iOS, desde aprovechar las herramientas de escritura hasta el análisis fotográfico. Federighi cuenta que su familia celebró el reciente cumpleaños de su perro con una creación de Image Playground generada por Apple Intelligence que compartió en exclusiva con WIRED. Pero aunque la IA de Apple pretende ser lo más útil e invisible posible, hay mucho en juego en cuanto a la seguridad de la infraestructura que la sustenta. ¿Cómo van las cosas hasta ahora? Federighi lo resume sin titubeos: «El despliegue de Private Cloud Compute ha sido deliciosamente tranquilo«.
Artículo originalmente publicado en WIRED. Adaptado por Mauricio Serfatty Godoy.
CVE-2024-45850
Jue, 12/09/2024 – 13:15
CVE-2024-45850
CVE-2024-45849
Jue, 12/09/2024 – 13:15
CVE-2024-45849
CVE-2024-45848
Jue, 12/09/2024 – 13:15
CVE-2024-45848
CVE-2024-45854
Jue, 12/09/2024 – 13:15
CVE-2024-45854
CVE-2024-45853
Jue, 12/09/2024 – 13:15
CVE-2024-45853
CVE-2024-45852
Jue, 12/09/2024 – 13:15
CVE-2024-45852
