Η Apple απευθύνθηκε πρόσφατα σε μια κρίσιμη ευπάθεια στο ακουστικό Vision Pro, ένα ελάττωμα που επέτρεψε σε κακόβουλες ιστοσελίδες να πλημμυρίσουν τα εικονικά περιβάλλοντα των χρηστών με κινούμενα 3D αντικείμενα όπως αράχνες και νυχτερίδες.
Η ανακάλυψη αυτής της ευπάθειας αποδίδεται στον Ryan Pickren, ερευνητή με αξιοσημείωτη ιστορία για τον εντοπισμό ζητημάτων ασφαλείας στο οικοσύστημα της Apple. ΑρπακτικόςαναγνωρισθείςΌτι το σφάλμα προέρχεται από τον τρόπο με τον οποίο ο VisionOS, το λειτουργικό σύστημα που τροφοδοτεί το Vision Pro, χειριζόταν τα μοντέλα 3D που βασίζονται στο Web μέσω του Apple AR Kit Quick Look. Εισήχθη το 2018 για το iOS, αυτό το πρότυπο επέτρεψε στους ιστότοπους να ενσωματώσουν 3D αντικείμενα στο περιβάλλον ενός χρήστη χωρίς να χρειάζονται ρητή άδεια. Αυτό το κενό επέτρεψε σε κακόβουλες τοποθεσίες να παρακάμψουν τα πρωτόκολλα ασφαλείας της Apple, επιτρέποντάς τους να τους επιτρέψουν να συμπληρώσουν τον εικονικό χώρο ενός χρήστη με πολλά κινούμενα αντικείμενα παραγωγής ήχου.
Τα ευρήματα του Pickren αποκάλυψαν μια απλή εκμετάλλευση: απλώς επισκέπτοντας έναν κακόβουλο ιστότοπο μέσω του Safari στο Vision Pro θα μπορούσε να προκαλέσει το σφάλμα. Μόλις ενεργοποιηθούν, οι χρήστες θα μπορούσαν να βρουν τους εικονικούς χώρους τους συγκλονισμένοι από τις αράχνες που ανιχνεύονται και τα σκασίματα, γεμάτες με χωρικό ήχο για να αυξήσουν την εντυπωσιακή εμπειρία. Ανησυχώντας, αυτά τα τρισδιάστατα αντικείμενα εξακολουθούσαν ακόμη και μετά την έξοδο από το σαφάρι, καθώς διαχειρίζονταν μια ξεχωριστή εφαρμογή, περιπλέκοντας την απομάκρυνσή τους.
Οι συνέπειες αυτού του σφάλματος ήταν ιδιαίτερα σοβαρές για τους χρήστες με φοβίες αράχνων ή νυχτερίδων. Η ξαφνική και απροσδιόριστη εμφάνιση αυτών των πλασμάτων στον εικονικό χώρο του ατόμου θα μπορούσε να προκαλέσει σημαντική ψυχολογική δυσφορία. Πέρα από τον παράγοντα φόβου, η πρακτική ταλαιπωρία της απομάκρυνσης του χειροκίνητου κάθε 3D αντικειμένου πατώντας σε αυτά προστίθεται στην απογοήτευση, προβάλλοντας τις ενοχλητικές δυνατότητες αυτής της ευπάθειας.
Με την ανακάλυψη του σφάλματος, ο Pickren το ανέφερε αμέσως στην Apple τον Φεβρουάριο. Σε απάντηση, η Apple κυκλοφόρησε μια ενημερωμένη έκδοση κώδικα στην ενημέρωση του Ιουνίου VisionOS 1.2, η οποία ενίσχυσε το πρωτόκολλο χειρισμού αρχείων για να αποτρέψει παρόμοια εκμεταλλεύσεις. Αρχικά, η Apple ταξινόμησε την ευπάθεια CVE-2024-27812 ως ζήτημα άρνησης εξυπηρέτησης (DOS). Ωστόσο, ο Pickren ισχυρίστηκε ότι αυτή η ταξινόμηση δεν ενέπνευσε πλήρως τη σοβαρότητα του σφάλματος, υποστηρίζοντας ένα πιο λεπτό μοντέλο απειλής για χωροταξικό υπολογισμό για την καλύτερη αντιμετώπιση τέτοιων μοναδικών τρωτών σημείων.
Η προληπτική προσέγγιση της Apple για την ενίσχυση της ασφάλειας του Vision Pro δεν σταμάτησε να επιδιορθώνει το σφάλμα. Στο WWDC 2024, ο τεχνολογικός γίγαντας που αποκάλυψε το VisionOS 2, με μια σειρά από νέα εργαλεία και βελτιώσεις. Αυτές περιλαμβάνουν τη δυνατότητα μετατροπής οποιασδήποτε φωτογραφίας σε μια χωρική φωτογραφία, νέους ελέγχους χειρονομίας και σημαντικές αναβαθμίσεις στην εικονική οθόνη MAC, όπως υποστήριξη εξαιρετικά ευρείας οθόνης. Το VisionOS 2 έχει προγραμματιστεί για απελευθέρωση τον Σεπτέμβριο, παράλληλα με άλλες σημαντικές ενημερώσεις όπως το iOS 18, το MacOS Sequoia, το iPados 18 και η Apple Intelligence, η σουίτα ολοκληρωμένων εργαλείων AI της εταιρείας.
Διαβάστε περισσότερα:Η Apple απελευθερώνει iOS 18.3.1 και MacOS 15.3.1 με κρίσιμες διορθώσεις ασφαλείας
Το πρόσφατο Bug Vision Pro εξέθεσε ένα κρίσιμο κενό ασφαλείας στο ακουστικό ARPHING της Apple. Το περιστατικό αυτό υπογραμμίζει την επείγουσα ανάγκη για την Apple να προσαρμόσει τα πρωτόκολλα ασφαλείας της στις μοναδικές απειλές που θέτουν η επαυξημένη πραγματικότητα. Με την AR αναμένεται να γίνει πιο ενσωματωμένη στην καθημερινή ζωή, τα τρωτά σημεία όπως αυτό μπορούν να προκαλέσουν όχι μόνο απογοήτευση αλλά δυνητικά σημαντική ψυχολογική δυσφορία
Για να διατηρηθεί η εμπιστοσύνη των χρηστών, η Apple πρέπει να δώσει προτεραιότητα στη συνεχή επαγρύπνηση, να επιδιορθώσει τα τρωτά σημεία γρήγορα και να αναπτύξει ισχυρά μοντέλα ασφαλείας ειδικά σχεδιασμένα για εμπειρίες AR.