6 月 23 日消息,苹果修复了一个影响  Vision Pro 的漏洞,该漏洞允许恶意网站在用户视野中凭空生成无限量的虚拟 3D 物体,这些物体可以是成群结队的蝙蝠,并且会在用户退出 Safari 浏览器后依然存在。

苹果修复影响 Vision Pro 的漏洞,网站无法再用蝙蝠轰炸用户的房间-风君雪科技博客

该漏洞是由一位网络安全研究人员瑞恩・皮克伦 (Ryan Pickren) 发现的,他表示,他表示苹果公司采取了很多措施来防范此类漏洞,但遗漏了一处关键细节:

皮克伦表示,苹果在 Vision Pro 的 App 上加入了针对此类攻击的特定防护。苹果一直非常重视保护用户在 Vision Pro 内的个人空间,防止恶意应用通过生成虚拟物品来吓唬用户。幸运的是,默认情况下,原生应用只能在可预测且易于关闭的“共享空间”内运行。

注意到,如果开发者想让应用提供更沉浸式的体验,则需要通过操作系统级别的提示征得用户同意,将应用切换到可信赖的“完整空间”模式。网站也可以通过实验性功能实现同样的效果,苹果也同样将“完整空间”的权限模型扩展到了网站上。

然而,苹果却遗漏了一项早期的增强现实 (AR) 功能。这项由苹果于 2018 年开发的功能仍然存在于  WebKit 内核(包括  visionOS 系统),它允许网站在用户视野中直接展示 3D 模型。

皮克伦发现,VisionOS 团队似乎忘记了一个旧的基于网页的 3D 模型查看标准 —— 苹果 ARKit 快速浏览 (Apple AR Kit Quick Look)。早在 2018 年,苹果刚开始涉足 AR / VR / XR 领域时,就为 iOS 开发了一种基于 HTML 的新方法,用于呈现 3D 皮克斯 (Pixar) 文件,名为“原地 USDZ 查看 (In-Place USDZ Viewing)”。

经过一些测试,皮克伦发现这项功能在 WebKit(包括  visionOS 版本)中仍然可用,甚至支持苹果 Reality Composer 创建的更现代的“.reality”文件格式。除此之外,这项功能还可以添加空间音频效果,让声音仿佛直接来自虚拟物体本身。更重要的是,这项功能默认启用,无需用户开启任何额外的实验性选项。

该漏洞的严重之处在于 Safari 浏览器并未对该功能设定任何权限控制,也不要求用户点击特定的链接。恶意网站可以通过编程让 JavaScript 自动点击链接来触发该功能,从而在用户毫无察觉的情况下生成任意数量的具有 3D 效果、动画和音效的物体。

这意味着攻击者只要让受害者访问恶意网站,就可以瞬间在 Vision Pro 中生成数百只爬行的蜘蛛和尖叫的蝙蝠,给用户带来惊吓。

皮克伦向苹果通报了该漏洞,苹果已经修复了该漏洞,并向皮克伦支付了相应的漏洞赏金。