苹果最近解决了其开创性的 AR 耳机中一个特殊的 Vision Pro 漏洞。这个漏洞可能允许网站用一群虚拟 3D 物体填充你的物理空间,飞翔的蝙蝠就是一个概念验证的例子。
甚至在离开 Vision Pro 的默认网络浏览器 Safari 后,这些物体仍会残留。
这个漏洞是由一位警惕的网络安全研究员 Ryan Pickren 发现的,尽管 Apple 采取了全面的安全措施,但它仍揭示了一个有趣的疏忽。
Vision Pro 漏洞是由一个被遗忘的功能引起的
Vision Pro 漏洞源自一个意想不到的来源:Apple AR Kit Quick Look。此功能可追溯到 2018 年,可直接在网页内渲染 3D 模型。然而,负责 Vision Pro 操作系统的 visionOS 团队似乎忽视了此功能在头戴式耳机沉浸式环境中被滥用的可能性。
在 Vision Pro 中,网站可以利用此 Quick Look 功能生成无限数量的 3D 对象,并配有动画和空间音频,无需任何用户交互。只需访问一个恶意网站,您的房间就可能充满虚拟蝙蝠或其他令人不安的生物的嘈杂声。
Ryan Pickren 来救援了!
发现该漏洞的网络安全研究员 Ryan Pickren 在一篇博客文章中详细介绍了他的发现。他演示了网站如何利用 JavaScript 自动触发 3D 对象的创建,从而绕过通常需要用户点击或其他形式的交互。
Pickren 的概念验证虽然令人不安,但却凸显了 Vision Pro 安全模型的重大漏洞。它清楚地提醒人们,在没有足够安全措施的情况下将传统功能集成到新技术中可能会带来隐患。
苹果进军
在 Pickren 披露漏洞后,Apple 迅速承认了 Vision Pro 漏洞的存在并发布了修复程序。该公司还向 Pickren 颁发了未披露的漏洞赏金,以表彰他对 Vision Pro 安全做出的宝贵贡献。
此次事件凸显了在快速发展的增强现实和虚拟现实领域中严格测试和持续警惕的重要性。随着这些技术越来越多地融入我们的日常生活,确保其安全变得至关重要。
Vision Pro 中的虫子生命
苹果对蝙蝠漏洞的回应表明了其致力于保障 Vision Pro 用户体验的承诺。虽然漏洞本身无疑令人担忧,但它最终成为了一次宝贵的学习经验,促使人们重新评估安全协议,并强调需要继续保持警惕。
当开发人员和用户都在探索 Vision Pro 的巨大潜力时,这一事件提醒我们,即使是最先进的技术也无法避免意外的怪癖。这证明了安全研究人员和科技公司之间的持续合作,共同努力确保安全和愉快的用户体验。
特色图片来源:bedneyimages/Freepik
Source: 苹果修复了 Vision Pro 中让你噩梦连连的漏洞