Apple Vision Pro 曾存在一個安全漏洞,它可能被惡意網站利用,通過無限數量的虛擬 3D 對象(如飛行的蝙蝠)來填滿用戶的空間。然而,值得欣慰的是,蘋果已經迅速解決了這一問題。
該漏洞是由網路安全專家 Ryan Pickren 發現的。他指出,儘管蘋果在防範此類漏洞上投入了大量努力,但仍有一處被忽視:
如果惡意應用能在用戶周圍生成物品來驚嚇他們,那將是非常危險的。幸運的是,蘋果的原生應用在默認情況下被限制在 Shared Space 環境中,該環境內的行為是可預測的,並且易於關閉。若應用想要提供更沉浸式的體驗,則必須通過作業系統級別的提示獲得用戶的明確許可,才能進入更受信任的 Full Space 環境。
網站原本可以利用實驗性功能達到類似的效果,但蘋果錯誤地將「Full Space」模式擴展到了網頁上。具體而言,蘋果在 2018 年開發的一項 AR 功能至今仍存在於 WebKit 中,而 visionOS 團隊似乎忘記了 Apple AR Kit Quick Look 的存在。
Ryan Pickren 進一步解釋道,存在一個較舊的基於 Web 的3D模型查看標準,即 Apple AR Kit Quick Look。早在 2018 年,當蘋果首次涉足 AR/VR/XR 領域時,他們為 iOS 開發了一種新的基於 HTML 的方法來渲染 3D 皮克斯文件,即In-Place USDZ Viewing。
經過測試,他發現這一標準在 WebKit(包括 visionOS 版本)中仍然有效,並支持由 Apple Reality Composer 產生的「.reality」文件類型。更令人驚訝的是,他甚至可以在此基礎上添加空間音頻,使聲音仿佛直接來自這些對象。
值得注意的是,Safari 瀏覽器並沒有為這一功能強制實施任何權限模型,而且它甚至不需要用戶點擊特定的錨標記。因此,通過簡單的 document.querySelector(『a』).click() 代碼,即可在沒有任何用戶交互的情況下啟動任意數量的 3D、動畫和聲音對象。
這意味著,只要用戶在 Apple Vision Pro 中訪問了惡意網站,他們的空間就可能瞬間被數百隻爬行的蜘蛛和尖叫的蝙蝠所充斥。
幸運的是,這個漏洞已經被蘋果修復,並且蘋果向 Pickren 支付了一筆未公開的賞金以表彰他的貢獻。
