출처: 토큰포스트
Web3.0 보안업체 CertiK은 CertiK의 엔지니어가 애플 비전 프로(Apple Vision Pro) MR(혼합 현실) 헤드셋에서 발견한 주요 취약점으로 인해 애플로부터 인정을 받았다고 발표했다.
이는 애플이 CertiK에 대해 공개적으로 감사를 전한 여섯 번째 사례이며, 현재 CertiK은 애플에서 가장 많은 감사를 받은 Web3.0 보안 기관으로 자리 잡고 있다. 아울러 삼성도 CertiK의 신속한 리스크 경고에 대해 공개적으로 감사를 표한 바 있다.
이 취약점은 CertiK의 엔지니어와 5명의 다른 컴퓨터 과학자들이 공동으로 발견한 것으로, 애플 비전 프로의 시선 추적(Eye-Tracking) 데이터가 비밀번호, PIN 코드 및 메시지와 같은 민감한 정보를 해독하는 데 악용될 수 있는지를 밝혀냈다.
연구팀은 WIRED와 독점적으로 “GAZEploit”라는 공격 방식을 공유했다. 비전 프로 기록에서 추출한 두 가지 생체 특성인 EAR(eye aspect ratio)과 시선 추정을 통해 사용자의 안구 움직임을 분석한 결과, 연구자들은 사용자가 비전 프로의 가상 키보드에서 입력한 내용을 재구성할 수 있었다. 이러한 패턴을 관찰하여 팀은 메시지를 92%의 정확도로 재구성하고, 비밀번호를 77%의 정확도로 추론할 수 있었다.
해당 취약점은 2024년 4월에 애플에 보고되었으며, 같은 해 7월에 애플은 이 문제를 해결하기 위한 소프트웨어 업데이트를 발행했다. 이 연구는 새로운 생체 인식 기술과 관련된 개인 정보 보호 리스크가 증가하고 있음을 보여주며, 기업과 사용자의 개인 정보를 보호하기 위한 강력한 보안 조치의 필요성을 강조했다.
CertiK은 항상 중요한 기술과 민감한 데이터를 보호하는 데 앞장서고 있다. 2020년 이후로 CertiK은 70건 이상의 화이트 햇 작업을 수행하고, 4,000건 이상의 보안 사고를 보고했으며, 115,000개의 코드 취약점을 발견했다. 이를 통해 3,600억 달러 이상의 디지털 자산을 잠재적 손실로부터 보호했으며, 주요 취약점을 발견하여 Sui에서 가장 높은 포상금을 받기도 했다. 신뢰와 혁신의 문화를 조성함으로써 CertiK은 새로운 사이버 보안 기준을 설정하고, 제품과 서비스를 지속적으로 최적화하여 고객의 보안 요구를 충족하고 있다.