蘋果修復影響Vision Pro的漏洞,網站無法再用蝙蝠轟炸用戶的房間

IT之家 6 月 23 日消息,蘋果修復了一個影響 Vision Pro 的漏洞,該漏洞允許惡意網站在用戶視野中憑空生成無限量的虛擬 3D 物體,這些物體可以是成羣結隊的蝙蝠,並且會在用戶退出 Safari 瀏覽器後依然存在。

該漏洞是由一位網絡安全研究人員瑞恩・皮克倫 (Ryan Pickren)發現的,他表示,他表示蘋果公司採取了很多措施來防範此類漏洞,但遺漏了一處關鍵細節:

皮克倫表示,蘋果在 Vision Pro 的 App 上加入了針對此類攻擊的特定防護。蘋果一直非常重視保護用戶在 Vision Pro 內的個人空間,防止惡意應用通過生成虛擬物品來嚇唬用戶。幸運的是,默認情況下,原生應用只能在可預測且易於關閉的“共享空間”內運行。

IT之家注意到,如果開發者想讓應用提供更沉浸式的體驗,則需要通過操作系統級別的提示徵得用戶同意,將應用切換到可信賴的“完整空間”模式。網站也可以通過實驗性功能實現同樣的效果,蘋果也同樣將“完整空間”的權限模型擴展到了網站上。

然而,蘋果卻遺漏了一項早期的增強現實 (AR) 功能。這項由蘋果於 2018 年開發的功能仍然存在於 WebKit 內核(包括 visionOS 系統),它允許網站在用戶視野中直接展示 3D 模型。

皮克倫發現,VisionOS 團隊似乎忘記了一箇舊的基於網頁的 3D 模型查看標準 —— 蘋果 ARKit 快速瀏覽 (Apple AR Kit Quick Look)。早在 2018 年,蘋果剛開始涉足 AR / VR / XR 領域時,就爲 iOS 開發了一種基於 HTML 的新方法,用於呈現 3D 皮克斯 (Pixar) 文件,名爲“原地 USDZ 查看 (In-Place USDZ Viewing)”。

經過一些測試,皮克倫發現這項功能在 WebKit(包括 visionOS 版本)中仍然可用,甚至支持蘋果 Reality Composer 創建的更現代的“.reality”文件格式。除此之外,這項功能還可以添加空間音頻效果,讓聲音彷彿直接來自虛擬物體本身。更重要的是,這項功能默認啓用,無需用戶開啓任何額外的實驗性選項。

該漏洞的嚴重之處在於 Safari 瀏覽器並未對該功能設定任何權限控制,也不要求用戶點擊特定的鏈接。惡意網站可以通過編程讓 JavaScript 自動點擊鏈接來觸發該功能,從而在用戶毫無察覺的情況下生成任意數量的具有 3D 效果、動畫和音效的物體。

這意味着攻擊者只要讓受害者訪問惡意網站,就可以瞬間在 Vision Pro 中生成數百隻爬行的蜘蛛和尖叫的蝙蝠,給用戶帶來驚嚇。

皮克倫向蘋果通報了該漏洞,蘋果已經修復了該漏洞,並向皮克倫支付了相應的漏洞賞金。