Apple 修复了 Vision Pro 的一个错误,该错误可能会导致网站在您的房间中充满无限数量的虚拟 3D 对象。这些物体——概念验证中的飞行蝙蝠——即使在你退出 Safari 后也会继续存在。
该漏洞是由一位网络安全研究人员发现的,他表示苹果公司采取了很多措施来防范此类漏洞,但它忘记了一件事……
苹果对此有保护措施
Ryan Pickren 表示,苹果在 Vision Pro 应用程序中针对此问题提供了特定的保护措施。
Apple 合理保护的重要领域之一是保护谁和什么可以进入您 Vision Pro 内的个人空间。如果恶意应用程序可以通过在你身后生成物品来吓到你,那不是很糟糕吗?值得庆幸的是,默认情况下,本机应用程序仅限于“共享空间”上下文,在那里它们的行为可预测并且可以轻松关闭。
如果应用程序想要更身临其境的体验,它们必须通过操作系统级别的提示获得用户的明确许可,将它们置于可信的“完整空间”上下文中。
网站可以使用实验性功能来实现同样的目的,但苹果扩展了全空间模型也适用于网站。
但公司忘记了一件事
但苹果忘记了它在 2018 年开发的 AR 功能。今天它仍然存在于 WebKit 中,其中包括 Vision Pro 版本。
有一个较旧的基于网络的 3D 模型查看标准,visionOS 团队似乎已经忘记了 – Apple AR Kit Quick Look!早在 2018 年,当 Apple 首次涉足 AR/VR/XR 领域时,他们在 iOS 中开发了一种新的基于 HTML 的方法,用于渲染 3D Pixar 文件,称为 In-Place USDZ Viewing […]
经过一些快速测试后,我注意到这个标准在 WebKit(包括 VisionOS 版本)中仍然存在并且运行良好,甚至支持更现代的“.由 Apple 的 Reality Composer 制作的“reality ”文件类型。事实上,我们甚至可以添加空间音频,这样感觉声音就来自对象本身。更好的是,这些功能默认情况下开箱即用,因此受害者不需要启用任何花哨的实验功能。
这是有趣的部分 – Safari 不会对此功能强制执行任何类型的权限模型。此外,它甚至不需要人类“点击”这个锚标签。因此,编程式 JavaScript 单击(即document.querySelector('a').click() )可以正常工作!这意味着我们可以启动任意数量的 3D、动画、发声对象,而无需任何用户交互。
如果受害者只是在 Vision Pro 中查看我们的网站,我们可以立即让他们的房间充满数百只爬行蜘蛛和尖叫蝙蝠!怪异的东西。
用户所要做的只是访问一个网站,几秒钟后……
现已修复
苹果公司向 Pickren 支付了一笔未公开的赏金,以奖励其识别该漏洞,现在该漏洞已得到修复。
主图片:Unsplash 上的托德·克雷文斯 (Todd Cravens)。蝙蝠 gif:瑞安·皮克伦。
免责声明
部分内容(图片、文章)翻译/转载自国内外资讯/自媒体平台。文中内容不代表本站立场,如有侵权或其它,请联系 macmao.com@gmail.com,我们会第一时间配合删除。(转载请注明来源自:www.macmao.com)