Apple Vision Proにおける眼球運動に関するセキュリティ脆弱性

Vision Pro は、その画期的な機能に対する賞賛とともに、特にその高価格とセキュリティ関連の問題に関して多くの論争にも直面してきました。

Vision Proは、全く新しいユーザーエクスペリエンスを提供するだけでなく、テクノロジーにおいても多くの注目すべき成果を達成しています。中でも特に印象的なのは、デバイスの視線追跡システムです。しかし、このシステムこそが、この製品が他のどのデバイスにも見られなかった、新たなタイプのセキュリティ脆弱性の標的となる点でもあります。

研究者たちは、ユーザーの視線の動きを追跡するだけで、入力内容を判別できることを発見しました。AppleがVisionOSインターフェースの操作を可能にするために採用している原理は、意図せずして、驚くべき精度でユーザーを欺くツールとなってしまいました。具体的には、この研究によると、視線の動きを分析することで、研究者は最初の5回の試行で最大77%の精度でパスワードを推測できるとのことです。テキストメッセージの場合、その精度はさらに高く、92%に達します。

このエクスプロイトはVision Proデバイスに直接侵入する必要がない点に注目すべきです。攻撃者は、ユーザーが仮想世界で自分自身を表現するために使用する仮想キャラクター（アバター）をツールとして利用し、入力内容を解読します。これらのキャラクターの目の動きを追跡・分析するだけで、機密性の高いユーザーデータを収集できます。

幸いなことに、この脆弱性は今年4月に研究者がAppleに警告するまで悪用されていませんでした。Appleは7月下旬にvisionOS 1.3のパッチをリリースすることで対応しました。しかし、解決策がユーザーの入力中に仮想文字を無効にするだけだったにもかかわらず、なぜAppleが問題の修正にこれほど時間がかかったのか疑問視する声は依然として多くあります。いずれにせよ、重要なのは脆弱性が修正され、ユーザーの安全が確保されたことです。

X [埋め込み]https://www.youtube.com/watch?v=IY4x85zqoJM[/埋め込み]

このセキュリティインシデントは、遠くから唇の動きを読んだり、画像を不当に拡大したりするなど、テクノロジーが不可能と思える偉業を成し遂げるSFの比喩を彷彿とさせます。しかし今回のVision Proの視線追跡機能は、現代技術の潜在能力を真に証明するものです。

Vision Pro は、現在入手可能な拡張現実 (AR) ヘッドセットの中でおそらく最も優れたものの 1 つですが、新しいテクノロジーを開発する際には、メーカーは常に、それがもたらす可能性のある新しいセキュリティ上の課題に対処する準備をしておかなければならないことを思い出させるものでもあります。

フン・グエン（PhoneArenaによる）