Apple 最近解決了 Vision Pro 耳機中的一個嚴重漏洞,該漏洞允許惡意網站用蜘蛛和蝙蝠等動畫 3D 對象淹沒用戶的虛擬環境。
該漏洞的發現者是 Ryan Pickren,他是一名研究人員,在識別 Apple 生態系統內的安全問題方面擁有出色的記錄。皮克倫已確定該錯誤源自 VisionOS(為 Vision Pro 提供支持的操作系統)通過 Apple AR Kit Quick Look 處理基於 Web 的 3D 模型的方式。該標準於 2018 年針對 iOS 推出,允許網站將 3D 對象集成到用戶環境中,而無需明確許可。這個漏洞使得惡意網站能夠繞過蘋果的安全協議,從而有效地讓它們在用戶的虛擬空間中填充大量動畫、發聲的對象。
另請閱讀:iOS 17.6.1 修復了嚴重的高級數據保護錯誤
Pickren 的發現揭示了一個簡單的漏洞:僅通過 Vision Pro 上的 Safari 訪問惡意網站就可能觸發該漏洞。一旦激活,用戶會發現他們的虛擬空間被爬行的蜘蛛和尖叫的蝙蝠淹沒,並配有空間音頻以增強身臨其境的體驗。令人不安的是,即使退出 Safari,這些 3D 對象仍然存在,因為它們由單獨的應用程序管理,這使得刪除變得複雜。
對於有蜘蛛或蝙蝠恐懼症的用戶來說,這個錯誤的影響尤其嚴重。這些生物突然且不請自來地出現在虛擬空間中可能會引起嚴重的心理困擾。除了恐懼因素之外,通過點擊每個 3D 對象來手動刪除它們的實際不便也增加了挫敗感,展示了此漏洞的破壞性潛力。
發現該漏洞後,Pickren 在二月份立即向蘋果報告了該漏洞。作為回應,Apple 在 6 月的visionOS 1.2 更新中發布了一個補丁,該補丁增強了文件處理協議以阻止類似的攻擊。最初,Apple 將 CVE-2024-27812 漏洞歸類為拒絕服務 (DoS) 問題。然而,皮克倫認為,這種分類並沒有完全概括該錯誤的嚴重性,他主張為空間計算建立更細緻的威脅模型,以更好地解決此類獨特的漏洞。
蘋果增強 Vision Pro 安全性的主動方法並沒有止步於修補漏洞。在 WWDC 2024 上,這家科技巨頭推出了 VisionOS 2,其中包含一系列新工具和改進。其中包括將任何照片轉換為空間照片的能力、新的手勢控制以及對 Mac 虛擬顯示器的重大升級,例如超寬顯示器支持。 VisionOS 2 定於 9 月發布,同時還將發布其他重大更新,例如 iOS 18、macOS Sequoia、iPadOS 18 和 Apple Intelligence(該公司的集成 AI 工具套件)。
最近的 Vision Pro 漏洞暴露了蘋果旗艦 AR 耳機中的一個關鍵安全漏洞。這一事件凸顯了蘋果迫切需要調整其安全協議以應對增強現實帶來的獨特威脅。隨著 AR 預計將更加融入日常生活,此類漏洞不僅會導致沮喪,還會帶來潛在的嚴重心理困擾
為了維持用戶的信任,Apple 必須優先考慮持續保持警惕,快速修補漏洞,並開發專為 AR 體驗設計的強大安全模型。