XR@93913
安全研究人员“入侵”了Apple Vision Pro,放置数百只虚拟蜘蛛和蝙蝠
一名安全研究人员在未经用户许可的情况下入侵了Apple Vision Pro,并让虚拟蜘蛛和蝙蝠充斥了整个房间。
专门寻找苹果产品漏洞的研究员Ryan Pickren发现了Vision Pro的一个安全漏洞。这让他在未经用户许可的情况下远程将数百只混合现实蜘蛛和蝙蝠“投放”到用户虚拟工作空间。请不用担心:苹果已经修复了这个漏洞。
Pickren称,该漏洞是在visionOS Safari中发现的,这使得他能通过恶意网站绕过用户权限,并在房间中放置任意数量的全动画3D对象。
Pickren解释:“如果受害者只是在Vision Pro中查看我们的网站,我们就能立即让对方的房间充满数百只爬行的蜘蛛和尖叫的蝙蝠。”,而且关闭Safari并不能阻止虚拟蜘蛛的侵扰,而摆脱它们的唯一方法是绕着房间走一圈,用手敲击每一只蜘蛛。
此次黑客攻击基于Web 3D模型旧标准,即2018年版Apple AR Kit Quick Look,该标准无需扩展程序即可运行,因此不需要实验性功能。由于Safari没有为该标准提供授权模型,并且用户不必点击链接,因此可作为远程漏洞,而无需用户交互。
除了Vision Pro,其他VR头显也发现了系统漏洞,这些漏洞可让攻击者侵犯用户隐私,例如,芝加哥大学的一项研究发现了Meta Quest操作系统中存在漏洞。
研究人员通过一款创建家庭环境数字克隆的应用将恶意代码注入VR系统,一旦进入系统,他们就能够看到、记录和操纵用户使用头显所做的一切,包括语音、手势、按键和浏览器活动。
2018年,美国计算机专家在测试中入侵了Oculus Rift和HTC Vive,窃取了敏感的用户数据,他们用恶意软件感染了一台计算机,以获取保护不力的OpenVR界面的访问权限。