Appleは最近、Vision Proヘッドセットの重大な脆弱性に対処しました。これは、悪意のあるWebサイトがクモやコウモリなどのアニメーション化された3Dオブジェクトでユーザーの仮想環境を浸水させることを可能にする欠陥です。
この脆弱性の発見は、Appleのエコシステム内のセキュリティ問題を特定する顕著な実績を持つ研究者であるRyan Pickrenに起因しています。ピックレン識別されますバグは、VisionosであるVisionosがVision Proを駆動する方法から生まれたことで、Apple ARキットクイックルックを介してWebベースの3Dモデルを処理しました。 2018年にiOS向けに導入されたこの標準により、ウェブサイトは、明示的な許可を必要とせずに3Dオブジェクトをユーザーの環境に統合することができました。この抜け穴により、悪意のあるサイトはAppleのセキュリティプロトコルをバイパスすることができ、効果的にユーザーの仮想スペースに多数のアニメーション化された音を生成するオブジェクトに設置できるようになりました。
Pickrenの調査結果は、簡単なエクスプロイトを明らかにしました。VisionProでSafariを通じて悪意のあるWebサイトにアクセスするだけで、バグがトリガーされる可能性があります。アクティブ化されると、ユーザーは、クロールするクモや金切り声のコウモリに圧倒され、空間オーディオを備えて没入型エクスペリエンスを高めることに圧倒された仮想スペースを見つけることができました。不穏なことに、これらの3Dオブジェクトは、Safariを終了した後でも持続し、別のアプリケーションによって管理され、除去を複雑にしました。
このバグの意味は、クモやコウモリの恐怖症を持つユーザーにとって特に深刻でした。仮想空間内のこれらの生き物の突然の招待されていない外観は、重大な心理的苦痛を引き起こす可能性があります。恐怖要因を超えて、それらをタップすることで各3Dオブジェクトを手動で削除するという実際的な不便は、この脆弱性の破壊的な可能性を示しています。
バグを発見すると、Pickrenは2月にAppleにすぐに報告しました。これに応じて、Appleは6月のVisionos 1.2アップデートでパッチをリリースし、同様のエクスプロイトを阻止するためにファイル処理プロトコルを強化しました。当初、AppleはCVE-2024-27812の脆弱性を、サービス拒否(DOS)の問題として分類しました。しかし、Pickrenは、この分類はバグの重症度を完全にカプセル化していないと主張し、そのようなユニークな脆弱性に対処するための空間コンピューティングのより微妙な脅威モデルを提唱しました。
Vision Proのセキュリティを強化するためのAppleの積極的なアプローチは、バグのパッチを適用することで止まりませんでした。 WWDC 2024では、Tech GiantがVisionos 2を発表しました。これらには、写真を空間写真、新しいジェスチャーコントロール、および超幅のディスプレイサポートなどのMac仮想ディスプレイへの大幅なアップグレードに変換する機能が含まれます。 Visionos 2は、iOS 18、Macos Sequoia、iPados 18、Apple Intelligence、同社の統合AIツールスイートなど、他の重要な更新とともに9月にリリースされる予定です。
続きを読む:Appleは重要なセキュリティ修正を使用してiOS 18.3.1とMacOS 15.3.1をリリースします
最近のVision Pro Bugは、AppleのフラッグシップARヘッドセットの重要なセキュリティギャップを明らかにしました。このインシデントは、Appleが拡張現実によってもたらされる独自の脅威にセキュリティプロトコルを適応させるための緊急の必要性を強調しています。 ARが日常生活により統合されると予想されるため、このような脆弱性はフラストレーションだけでなく、潜在的に重大な心理的苦痛を引き起こす可能性があります
ユーザーの信頼を維持するために、Appleは継続的な警戒を優先し、脆弱性に迅速にパッチを適用し、ARエクスペリエンス向けに特別に設計された堅牢なセキュリティモデルを開発する必要があります。