蘋(píng)果修復(fù)影響 Vision Pro 的漏洞，網(wǎng)站無(wú)法再用蝙蝠轟炸用戶(hù)的房間

IT之家 6 月 23 日消息，蘋(píng)果修復(fù)了一個(gè)影響  Vision Pro 的漏洞，該漏洞允許惡意網(wǎng)站在用戶(hù)視野中憑空生成無(wú)限量的虛擬 3D 物體，這些物體可以是成群結(jié)隊(duì)的蝙蝠，并且會(huì)在用戶(hù)退出 Safari 瀏覽器后依然存在。

該漏洞是由一位網(wǎng)絡(luò)安全研究人員瑞恩?皮克倫 (Ryan Pickren) 發(fā)現(xiàn)的，他表示蘋(píng)果公司采取了很多措施來(lái)防范此類(lèi)漏洞，但遺漏了一處關(guān)鍵細(xì)節(jié)。

皮克倫表示，蘋(píng)果在 Vision Pro 的 App 上加入了針對(duì)此類(lèi)攻擊的特定防護(hù)。蘋(píng)果一直非常重視保護(hù)用戶(hù)在 Vision Pro 內(nèi)的個(gè)人空間，防止惡意應(yīng)用通過(guò)生成虛擬物品來(lái)嚇唬用戶(hù)。幸運(yùn)的是，默認(rèn)情況下，原生應(yīng)用只能在可預(yù)測(cè)且易于關(guān)閉的“共享空間”內(nèi)運(yùn)行。

IT之家注意到，如果開(kāi)發(fā)者想讓?xiě)?yīng)用提供更沉浸式的體驗(yàn)，則需要通過(guò)操作系統(tǒng)級(jí)別的提示征得用戶(hù)同意，將應(yīng)用切換到可信賴(lài)的“完整空間”模式。網(wǎng)站也可以通過(guò)實(shí)驗(yàn)性功能實(shí)現(xiàn)同樣的效果，蘋(píng)果也同樣將“完整空間”的權(quán)限模型擴(kuò)展到了網(wǎng)站上。

然而，蘋(píng)果卻遺漏了一項(xiàng)早期的增強(qiáng)現(xiàn)實(shí) (AR) 功能。這項(xiàng)由蘋(píng)果于 2018 年開(kāi)發(fā)的功能仍然存在于  WebKit 內(nèi)核（包括  visionOS 系統(tǒng)），它允許網(wǎng)站在用戶(hù)視野中直接展示 3D 模型。

皮克倫發(fā)現(xiàn)，VisionOS 團(tuán)隊(duì)似乎忘記了一個(gè)舊的基于網(wǎng)頁(yè)的 3D 模型查看標(biāo)準(zhǔn) —— 蘋(píng)果 ARKit 快速瀏覽 (Apple AR Kit Quick Look)。早在 2018 年，蘋(píng)果剛開(kāi)始涉足 AR / VR / XR 領(lǐng)域時(shí)，就為 iOS 開(kāi)發(fā)了一種基于 HTML 的新方法，用于呈現(xiàn) 3D 皮克斯 (Pixar) 文件，名為“原地 USDZ 查看 (In-Place USDZ Viewing)”。

經(jīng)過(guò)一些測(cè)試，皮克倫發(fā)現(xiàn)這項(xiàng)功能在 WebKit（包括  visionOS 版本）中仍然可用，甚至支持蘋(píng)果 Reality Composer 創(chuàng)建的更現(xiàn)代的“.reality”文件格式。除此之外，這項(xiàng)功能還可以添加空間音頻效果，讓聲音仿佛直接來(lái)自虛擬物體本身。更重要的是，這項(xiàng)功能默認(rèn)啟用，無(wú)需用戶(hù)開(kāi)啟任何額外的實(shí)驗(yàn)性選項(xiàng)。

該漏洞的嚴(yán)重之處在于 Safari 瀏覽器并未對(duì)該功能設(shè)定任何權(quán)限控制，也不要求用戶(hù)點(diǎn)擊特定的鏈接。惡意網(wǎng)站可以通過(guò)編程讓 JavaScript 自動(dòng)點(diǎn)擊鏈接來(lái)觸發(fā)該功能，從而在用戶(hù)毫無(wú)察覺(jué)的情況下生成任意數(shù)量的具有 3D 效果、動(dòng)畫(huà)和音效的物體。

這意味著攻擊者只要讓受害者訪問(wèn)惡意網(wǎng)站，就可以瞬間在 Vision Pro 中生成數(shù)百只爬行的蜘蛛和尖叫的蝙蝠，給用戶(hù)帶來(lái)驚嚇。

皮克倫向蘋(píng)果通報(bào)了該漏洞，蘋(píng)果已經(jīng)修復(fù)了該漏洞，并向皮克倫支付了相應(yīng)的漏洞賞金。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。