Apple kısa süre önce, kötü amaçlı web sitelerinin kullanıcıların sanal ortamlarını örümcekler ve yarasalar gibi animasyonlu 3D nesnelerle su altında bırakmasına izin veren bir kusur olan Vision Pro kulaklıklarında kritik bir güvenlik açığı ele aldı.
Bu güvenlik açığının keşfi, Apple'ın ekosistemindeki güvenlik sorunlarını belirlemede dikkate değer bir sicile sahip bir araştırmacı olan Ryan Pickren'e atfediliyor. PickrentanımlanmışHatanın, Vision Pro'ya güç veren işletim sistemi olan VisionO'ların Web tabanlı 3D modellerini Apple AR kiti Quick Look aracılığıyla ele aldığı yoldan kaynaklandı. İOS için 2018 yılında tanıtılan bu standart, web sitelerinin 3D nesneleri açık bir izin almadan bir kullanıcının ortamına entegre etmesine izin verdi. Bu boşluk, kötü niyetli sitelerin Apple'ın güvenlik protokollerini atlamasını sağladı ve bir kullanıcının sanal alanını çok sayıda animasyonlu, ses üreten nesnelerle doldurmalarına izin verdi.
Pickren'in bulguları basit bir istismar ortaya koydu: sadece Safari aracılığıyla Vision Pro üzerindeki kötü niyetli bir web sitesini ziyaret etmek hatayı tetikleyebilir. Etkinleştirildikten sonra, kullanıcılar sanal alanlarını sürünen örümcekler ve çığlık atan yarasalar tarafından boğulmuş bulabilirler, sürükleyici deneyimi arttırmak için mekansal sesle tamamlanırlar. Rahatsız edici bir şekilde, bu 3D nesneler, Safari'den çıktıktan sonra bile, ayrı bir uygulama tarafından yönetildikleri ve kaldırmalarını karmaşıklaştırdıktan sonra devam etti.
Bu hatanın sonuçları, örümcek veya yarasa fobileri olan kullanıcılar için özellikle şiddetliydi. Bu yaratıkların kişinin sanal alanındaki ani ve davetsiz görünümü önemli psikolojik sıkıntı yaratabilir. Korku faktörünün ötesinde, her 3D nesneyi onlara dokunarak manuel olarak kaldırmanın pratik rahatsızlığı, hayal kırıklığına eklendi ve bu güvenlik açığının yıkıcı potansiyelini sergiledi.
Hatayı keşfettikten sonra Pickren, Şubat ayında derhal Apple'a bildirdi. Yanıt olarak Apple, Haziran Visionos 1.2 güncellemesinde, benzer istismarları engellemek için dosya işleme protokolünü geliştiren bir yama yayınladı. Başlangıçta Apple, CVE-2024-27812 güvenlik açığını bir hizmet reddi (DOS) sorunu olarak sınıflandırdı. Bununla birlikte, Pickren, bu sınıflandırmanın, bu tür benzersiz güvenlik açıklarını daha iyi ele almak için mekansal bilgi işlem için daha nüanslı bir tehdit modelini savunarak hatanın şiddetini tam olarak kapsüllemediğini savundu.
Apple'ın Vision Pro'nun güvenliğini artırmaya yönelik proaktif yaklaşımı, hatayı yamalamakta durmadı. WWDC 2024'te teknoloji devi, bir dizi yeni araç ve iyileştirme içeren Visionos 2'yi tanıttı. Bunlar, herhangi bir fotoğrafı mekansal bir fotoğrafa, yeni jest kontrollerine ve önemli yükseltmeleri MAC Sanal ekranına dönüştürme yeteneği, örneğin ultra genişlikte ekran desteği gibi. Visionos 2, şirketin entegre AI araçları paketi olan iOS 18, MacOS Sequoia, iPados 18 ve Apple Intelligence gibi diğer önemli güncellemelerin yanı sıra Eylül ayında yayınlanacak.
Devamını oku:Apple, kritik güvenlik düzeltmeleri ile iOS 18.3.1 ve MacOS 15.3.1'i yayınladı
Son Vision Pro Bug, Apple'ın amiral gemisi AR kulaklıklarında kritik bir güvenlik açığı ortaya koydu. Bu olay, Apple'ın güvenlik protokollerini artırılmış gerçekliğin ortaya koyduğu benzersiz tehditlere uyarlama ihtiyacını vurgulamaktadır. AR'nin günlük yaşama daha fazla entegre olması beklenirken, bunun gibi güvenlik açıkları sadece hayal kırıklığına değil, potansiyel olarak önemli psikolojik sıkıntıya neden olabilir.
Kullanıcı güvenini korumak için Apple, sürekli uyanıklığa öncelik vermeli, güvenlik açıklarını hızlı bir şekilde yamalmalı ve AR deneyimleri için özel olarak tasarlanmış sağlam güvenlik modelleri geliştirmelidir.