Apple har nylig adressert en kritisk sårbarhet i Vision Pro-headsettet, en feil som tillot ondsinnede nettsteder å oversvømme brukernes virtuelle miljøer med animerte 3D-objekter som edderkopper og flaggermus.
Oppdagelsen av denne sårbarheten tilskrives Ryan Pickren, en forsker med en bemerkelsesverdig merittliste i å identifisere sikkerhetsproblemer i Apples økosystem. Pickrenidentifisertat feilen stammer fra måten visionOS, operativsystemet som driver Vision Pro, håndterte nettbaserte 3D-modeller via Apple AR Kit Quick Look. Denne standarden ble introdusert i 2018 for iOS, og tillot nettsteder å integrere 3D-objekter i en brukers miljø uten å trenge eksplisitt tillatelse. Dette smutthullet gjorde det mulig for ondsinnede nettsteder å omgå Apples sikkerhetsprotokoller, slik at de effektivt kunne fylle en brukers virtuelle rom med en rekke animerte, lydproduserende objekter.
Les også:iOS 17.6.1 fikser kritisk Advanced Data Protection-feil
Pickrens funn avslørte en enkel utnyttelse: bare å besøke et ondsinnet nettsted gjennom Safari på Vision Pro kan utløse feilen. Når de er aktivert, kan brukerne finne de virtuelle områdene deres overveldet av krypende edderkopper og skrikende flaggermus, komplett med romlig lyd for å øke den oppslukende opplevelsen. Foruroligende nok vedvarte disse 3D-objektene selv etter at de forlot Safari, ettersom de ble administrert av et eget program, noe som kompliserte fjerningen.
Implikasjonene av denne feilen var spesielt alvorlige for brukere med fobier for edderkopper eller flaggermus. Den plutselige og ubudne opptredenen av disse skapningene i ens virtuelle rom kan forårsake betydelig psykologisk nød. Utover fryktfaktoren, bidro den praktiske ulempen ved å manuelt fjerne hvert 3D-objekt ved å trykke på dem til frustrasjonen, og viste frem det forstyrrende potensialet til denne sårbarheten.
Etter å ha oppdaget feilen, rapporterte Pickren den umiddelbart til Apple i februar. Som svar ga Apple ut en oppdatering i juni visionOS 1.2-oppdateringen, som forbedret filhåndteringsprotokollen for å hindre lignende utnyttelser. Opprinnelig klassifiserte Apple CVE-2024-27812-sårbarheten som et tjenestenekt-problem (DoS). Pickren hevdet imidlertid at denne klassifiseringen ikke fullstendig innkapslet alvorlighetsgraden av feilen, og tok til orde for en mer nyansert trusselmodell for romlig databehandling for å bedre adressere slike unike sårbarheter.
Apples proaktive tilnærming til å forbedre sikkerheten til Vision Pro stoppet ikke ved å reparere feilen. På WWDC 2024 avduket teknologigiganten visionOS 2, med en rekke nye verktøy og forbedringer. Disse inkluderer muligheten til å konvertere et hvilket som helst bilde til et romlig bilde, nye bevegelseskontroller og betydelige oppgraderinger til Mac Virtual Display, for eksempel støtte for ultrabred skjerm. visionOS 2 er planlagt utgitt i september, sammen med andre viktige oppdateringer som iOS 18, macOS Sequoia, iPadOS 18 og Apple Intelligence, selskapets pakke med integrerte AI-verktøy.
Den nylige Vision Pro-feilen avslørte et kritisk sikkerhetshull i Apples flaggskip AR-headset. Denne hendelsen fremhever det presserende behovet for Apple for å tilpasse sikkerhetsprotokollene sine til de unike truslene fra utvidet virkelighet. Med AR forventet å bli mer integrert i dagliglivet, kan sårbarheter som dette forårsake ikke bare frustrasjon, men potensielt betydelig psykologisk lidelse
For å opprettholde brukertilliten må Apple prioritere kontinuerlig årvåkenhet, lappe sårbarheter raskt og utvikle robuste sikkerhetsmodeller spesielt utviklet for AR-opplevelser.