蘋果修復影響Vision Pro的漏洞，網站無法再用蝙蝠轟炸用戶的房間

IT之家 6 月 23 日消息，蘋果修復了一個影響 Vision Pro 的漏洞，該漏洞允許惡意網站在用戶視野中憑空生成無限量的虛擬 3D 物體，這些物體可以是成羣結隊的蝙蝠，並且會在用戶退出 Safari 瀏覽器後依然存在。

該漏洞是由一位網絡安全研究人員瑞恩・皮克倫 (Ryan Pickren)發現的，他表示，他表示蘋果公司採取了很多措施來防範此類漏洞，但遺漏了一處關鍵細節：

皮克倫表示，蘋果在 Vision Pro 的 App 上加入了針對此類攻擊的特定防護。蘋果一直非常重視保護用戶在 Vision Pro 內的個人空間，防止惡意應用通過生成虛擬物品來嚇唬用戶。幸運的是，默認情況下，原生應用只能在可預測且易於關閉的“共享空間”內運行。

IT之家注意到，如果開發者想讓應用提供更沉浸式的體驗，則需要通過操作系統級別的提示徵得用戶同意，將應用切換到可信賴的“完整空間”模式。網站也可以通過實驗性功能實現同樣的效果，蘋果也同樣將“完整空間”的權限模型擴展到了網站上。

然而，蘋果卻遺漏了一項早期的增強現實 (AR) 功能。這項由蘋果於 2018 年開發的功能仍然存在於 WebKit 內核（包括 visionOS 系統），它允許網站在用戶視野中直接展示 3D 模型。

皮克倫發現，VisionOS 團隊似乎忘記了一箇舊的基於網頁的 3D 模型查看標準 —— 蘋果 ARKit 快速瀏覽 (Apple AR Kit Quick Look)。早在 2018 年，蘋果剛開始涉足 AR / VR / XR 領域時，就爲 iOS 開發了一種基於 HTML 的新方法，用於呈現 3D 皮克斯 (Pixar) 文件，名爲“原地 USDZ 查看 (In-Place USDZ Viewing)”。

經過一些測試，皮克倫發現這項功能在 WebKit（包括 visionOS 版本）中仍然可用，甚至支持蘋果 Reality Composer 創建的更現代的“.reality”文件格式。除此之外，這項功能還可以添加空間音頻效果，讓聲音彷彿直接來自虛擬物體本身。更重要的是，這項功能默認啓用，無需用戶開啓任何額外的實驗性選項。

該漏洞的嚴重之處在於 Safari 瀏覽器並未對該功能設定任何權限控制，也不要求用戶點擊特定的鏈接。惡意網站可以通過編程讓 JavaScript 自動點擊鏈接來觸發該功能，從而在用戶毫無察覺的情況下生成任意數量的具有 3D 效果、動畫和音效的物體。

這意味着攻擊者只要讓受害者訪問惡意網站，就可以瞬間在 Vision Pro 中生成數百隻爬行的蜘蛛和尖叫的蝙蝠，給用戶帶來驚嚇。

皮克倫向蘋果通報了該漏洞，蘋果已經修復了該漏洞，並向皮克倫支付了相應的漏洞賞金。