Une faille de sécurité sur visionOS, le système d’exploitation de l’Apple Vision Pro, permettait à des hackers de savoir ce que vous tapiez sur le clavier. Cela incluait des données sensibles, comme les mots de passe et les messages privés.

Apple Vision Pro Clavier

Un groupe de six chercheurs, qui ont découvert la faille de sécurité, ont décidé de donner un nom à la vulnérabilité : GAZEploit.

La vidéo ci-dessous montre comment cela fonctionne. Les chercheurs ont expliqué que le regard d’une personne se fixe généralement sur la touche qu’elle est susceptible d’appuyer, ce qui peut révéler des schémas communs. Les chercheurs ont ainsi pu identifier les lettres correctes tapées dans les messages 92% du temps après cinq essais, et 77% du temps pour les mots de passe. Cela se déroule avec l’usage d’un Persona, qui est un avatar de l’utilisateur, pendant, par exemple, un appel FaceTime.

La faille a été signalée à Apple en avril et le fabricant l’a corrigée en juillet avec visionOS 1.3. Mais il ne l’avait pas dit jusqu’à présent. L’information a été dévoilée il y a quelques jours sur sa page dédiée à la sécurité. On peut lire que la faille a pour identifiant CVE-2024-40865. Apple liste les éléments suivants :

Impact : les données saisies sur le clavier virtuel peuvent être déduites du Persona.

Description : le problème a été résolu en suspendant le Persona lorsque le clavier virtuel est actif.

A priori, personne n’a été en mesure d’exploiter cette faille de sécurité. Il est bien sûr recommandé de mettre à jour son Apple Vision Pro pour une meilleure sécurité.