Apple Vision Pro修复一个漏洞,防止无限量虚拟3D对象填满空间
苹果现在已经修复了所述漏洞
(映维网Nweon 2024年06月24日)据悉,Apple Vision Pro存在的漏洞可能会允许一个网站用无限数量的虚拟3D对象填满你的房间,比如说飞行蝙蝠。不过,苹果现在已经修复了所述漏洞。
这个漏洞是由网络安全研究人员瑞安·皮克伦(Ryan Pickren)发现,他表示苹果投入了大量精力来防范这类漏洞,但他们忘记了一件事……
如果一个恶意的应用程序可以通过在你身后生成物品来吓唬你,那不是很糟糕吗?幸运的是,默认情况下,原生应用限制在‘Shared Space’环境中,在那里它们的行为是可预测的,可以很容易地关闭。
如果应用想要获得更沉浸式的体验,它们必须通过操作系统级别的提示以获得用户的明确许可,从而将它们置于可信的‘Full Space’环境中。
网站可以使用实验功能来实现同样的目标,但苹果将“Full Space”模式扩展到了网站。苹果忘记的一件事情是,他们在2018年开发的一项增强现实功能到今天依然存在于WebKit中。
皮克伦解释道:
有一个更老的基于web的3D模型查看标准,visionOS团队似乎已经忘记了Apple AR Kit Quick Look。早在2018年,当苹果首次涉足AR/VR/XR时,他们在iOS中开发了一种新的基于html的方法来渲染3D皮克斯文件,In-Place USDZ Viewing
经过快速的测试,我注意到这个标准在WebKit(包括visionOS build)中依然有效,甚至支持由Apple Reality Composer产生的‘.reality’文件类型。事实上,我们甚至可以添加空间音频,令声音感觉像是来自对象本身。
有趣的是,Safari并没有在这个功能上强制任何类型的权限模型。另外,它甚至不需要这个锚标记‘点击’。所以document.querySelector(‘a’).click()可以正常工作。这意味着我们可以在没有任何用户交互的情况下启动任意数量的3D、动画、声音对象。
只要用户在Apple Vision Pro中浏览我们的网站,我们就能立刻让他们的房间充满数百只爬行的蜘蛛和尖叫的蝙蝠。
幸运的是,这个漏洞已经修复,而苹果向皮克伦支付了一笔未公开的赏金。
