Au milieu de l’actualité du prochain budget Vision Pro et des nouvelles fonctionnalités à venir sur VisionOS, Apple a résolu un problème existant.
L’équipe de développeurs d’Apple a corrigé un effrayant bug dans sa plateforme de réalité augmentée visionOS qui permettait à des sites Web malveillants de remplir votre casque Apple Vision Pro de centaines d’objets 3D, notamment des chauves-souris et des araignées, sans votre autorisation.
Le bug était découvert par un chercheur en sécurité Ryan Pickrenqui a trouvé un moyen de contourner tous les avertissements du navigateur Safari pour restituer les modèles 3D et les sons associés créés par un site Web – apparemment dans votre environnement physique.
Pickren dit qu’il a divulgué le bug à Apple en février et qu’il a été corrigé dans visionOS 1.2, livré en juin. Apple a également attribué à Pickren une prime de bug pour ses efforts.
«Cela signifie que nous pouvons lancer un nombre arbitraire d’objets 3D, animés et créateurs de sons sans aucune interaction de l’utilisateur… Si la victime consulte simplement notre site Web dans Vision Pro, nous pouvons instantanément remplir sa pièce de centaines d’araignées rampantes et hurlantes. chauves-souris! Drôles de choses. »
Ryan Pickren
L’exploit a tiré parti de l’ancienne norme de modèle 3D Web d’Apple, Apple AR Quick Look. Et comme Quick Look gérait les objets, il ne suffisait pas de fermer Safari pour que le monstres disparaître. La seule façon de s’en débarrasser était de tapoter chaque araignée ou chauve-souris individuellement.
Alors qu’Apple a introduit de nouvelles restrictions pour empêcher les sites Web et les applications de générer des objets 3D à volonté – y compris une invite d’autorisation qui demande aux utilisateurs s’ils souhaitent autoriser le rendu d’un modèle 3D – les nouvelles protections ne couvraient pas AR Quick Look, qui a été conçu pour permettre aux utilisateurs de visualiser des objets 3D dans le monde réel sans installer d’application distincte.