研究警告:VR头显的注视点渲染技术或成视线泄露侧信道
研究团队在发布研究结果前已经向Meta和Varjo进行了漏洞披露
(映维网Nweon 2026年06月01日)美国弗吉尼亚理工大学的一项最新研究发现,恶意应用可以利用主流VR头显中的动态注视点渲染功能和常规性能指标,在不调用眼动追踪API的情况下,反推出用户的视线位置。这一攻击方式可以绕过当前主流的眼动数据隐私保护机制,给用户带来潜在的隐私风险。
动态注视点渲染是一种常见的GPU优化技术:系统根据用户当前的视线方向,对注视点区域(中心凹)以高分辨率、高着色率渲染,同时对外围降低渲染质量,从而减少GPU负载。
研究人员发现,由于注视点区域渲染成本更高,当一个“高成本对象”(HCO)扫过用户视场时,如果它恰好落在注视点区域,就会引起GPU工作负载的明显波动。这种波动可以通过游戏引擎公开的每帧性能指标(如帧率、帧时间)被应用程序捕获。
攻击者设计透明HCO以水平或垂直方向反复扫描用户视场,同时记录每帧的性能指标和HCO的位置。通过离线分析,找到指标波动最大(或最小)的时刻,并将其对应到HCO的扫描位置,即可推断出用户在该时刻的视线坐标,全程无需访问眼动追踪API。
研究团队在三种平台上实现了完整的攻击管道:
Varjo XR-4(Unreal引擎):误差约3.98°(水平)和3.24°(垂直)。
桌面平台(Godot引擎,模拟注视点渲染):误差约1.23°(水平)和0.96°(垂直)。
误差范围与典型VR眼动追踪器自身的噪点水平(约2–3°)相当。在用户研究中,参与者并未察觉攻击的存在,视觉质量和伪影评分与正常运行无显著差异,说明攻击具有良好的隐蔽性。
眼动追踪数据本身能够反映用户的医疗状况、情绪状态、个性特征、兴趣偏好等敏感信息。即使只有低频率的视线数据,也足以判断用户在场景中持续关注哪些对象或区域。
攻击者可以通过在VR应用中植入上述扫描逻辑,推断用户对特定广告、头像、健康提示或政治性内容的注意力分布,进而进行定向广告、画像分析甚至钓鱼攻击。例如,若用户在“债务减免”相关提示上注视时间异常延长,应用可能推断其有财务焦虑,并可推送高利贷广告。
值得一提的是,团队表示简单统计检测即可有效拦截。
他们设计了两种轻量级检测器,用于识别正在进行的扫描攻击:
有监督逻辑回归:利用标记数据训练,F1值达0.93。
无监督K-means聚类:无需标记,仅基于性能指标的标准差和异常值比例,在时间窗口超过扫描时间(如1秒)时,F1值可达0.99。
实验表明,这些检测器在VR和桌面平台均能有效工作。团队同时讨论了通过启用垂直同步或人为周期性调制GPU负载等对抗手段,进一步增加攻击难度的可能性。
值得一提的是,研究团队在发布研究结果前已经向Meta和Varjo进行了漏洞披露,Varjo回应称,其产品面向企业及研究场景,用户通常知晓眼动数据被记录且可通过API获取,不符合其安全威胁模型。Meta已确认漏洞,但尚未公布具体应对措施。
相关论文:EyeSpy: Inferring Eye Gaze via Side-Channel Attacks Against Foveated Rendering
研究人员表示,这项研究的核心意义在于揭示:即便系统限制或完全禁用眼动追踪API,只要DFR和性能指标通道保持开放,视线信息仍可能通过侧信道泄露。所以,单纯的权限门控不足以保护视线隐私,需要从渲染管道和指标暴露层面设计更全面的防御策略。
