'Uzaysal Bilgi İşlem' uzamsal hatalar içeriyor: Safari'nin WebKit altyapısındaki bir kusur, saldırganların yalnızca bir web sitesini açarak Vision Pro kullanıcısının fiziksel ortamına istenmeyen dijital öğeler eklemesine olanak tanıyor. Bu durum, örneğin, bir güvenlik araştırmacısının gösterdiği gibi, kulaklık takan kişinin masasının ve odasının beklenmedik bir şekilde örümcekler ve yarasalarla kaplanması için kullanılabilir. Apple, VisionOS 1.2 ile güvenlik açığını ortadan kaldırdı.
Reklamcılık
3D dosyalar ortamı engellenmeden ele geçirir
VisionOS uygulamasının fiziksel ortamı ele geçirmesi veya manipüle etmesi için kullanıcının genellikle onay vermesi gerekir. Hatayı Apple'a bildiren geliştirici Ryan Pickren, Safari tarayıcısındaki engellerin de yüksek olduğunu açıklıyor. WebXR aracılığıyla oynatılan VR içeriği ve stereoskopik 180/360 derecelik videolar yalnızca kullanıcının onay vermesinin ardından sunulur. Ancak Pickren, USDZ ve .reality formatlarındaki 3D dosyaların önizlemesi için herhangi bir talep olmadığını belirtti. Bu tür 3D modeller bir web sitesine kolayca entegre edilebilir ve çağrıldığında programlı olarak başlatılabilir, böylece kullanıcının daha fazla tıklamasına gerek kalmaz.
Bu özelliği sayesinde, kulaklık kullanıcısının odası anında yüzlerce sürünen örümcek ve çığlık atan yarasayla dolar ve ses de çalınabilir. Diğer bir sorun da, kulaklığı kafanızdan sökmek dışında acil bir çıkış yolunun bulunmaması. Pickren, 3D öğelerin Safari'de değil, ayrı bir Hızlı Bakış önizleme sürecinde çalıştığını açıklıyor. Korkan kullanıcı tarayıcıyı hızlı bir şekilde kapatırsa örümceklerden kurtulamayacaktır.
Karma gerçeklik için yeni saldırı senaryoları
Güvenlik araştırmacısı, hatanın bulunmasının sonuçta kolay olduğunu yazıyor; “ihmal edilen saldırı yüzeyini” bulana kadar eski WebKit belgelerini biraz incelemesi yeterliydi. Geliştirici, Apple'ın hatayı bir hizmet reddi saldırısı olarak belgelediğini ve belirli sayıda 3D model kullanıldığında kulaklığın çökmesine de neden olabileceğini belirtiyor. Ancak karma gerçekliğin mümkün kıldığı yeni saldırı senaryolarıyla daha çok ilgileniyor.
(Ibe)
Reklamcılık
3D dosyalar ortamı engellenmeden ele geçirir
VisionOS uygulamasının fiziksel ortamı ele geçirmesi veya manipüle etmesi için kullanıcının genellikle onay vermesi gerekir. Hatayı Apple'a bildiren geliştirici Ryan Pickren, Safari tarayıcısındaki engellerin de yüksek olduğunu açıklıyor. WebXR aracılığıyla oynatılan VR içeriği ve stereoskopik 180/360 derecelik videolar yalnızca kullanıcının onay vermesinin ardından sunulur. Ancak Pickren, USDZ ve .reality formatlarındaki 3D dosyaların önizlemesi için herhangi bir talep olmadığını belirtti. Bu tür 3D modeller bir web sitesine kolayca entegre edilebilir ve çağrıldığında programlı olarak başlatılabilir, böylece kullanıcının daha fazla tıklamasına gerek kalmaz.
Bu özelliği sayesinde, kulaklık kullanıcısının odası anında yüzlerce sürünen örümcek ve çığlık atan yarasayla dolar ve ses de çalınabilir. Diğer bir sorun da, kulaklığı kafanızdan sökmek dışında acil bir çıkış yolunun bulunmaması. Pickren, 3D öğelerin Safari'de değil, ayrı bir Hızlı Bakış önizleme sürecinde çalıştığını açıklıyor. Korkan kullanıcı tarayıcıyı hızlı bir şekilde kapatırsa örümceklerden kurtulamayacaktır.
Karma gerçeklik için yeni saldırı senaryoları
Güvenlik araştırmacısı, hatanın bulunmasının sonuçta kolay olduğunu yazıyor; “ihmal edilen saldırı yüzeyini” bulana kadar eski WebKit belgelerini biraz incelemesi yeterliydi. Geliştirici, Apple'ın hatayı bir hizmet reddi saldırısı olarak belgelediğini ve belirli sayıda 3D model kullanıldığında kulaklığın çökmesine de neden olabileceğini belirtiyor. Ancak karma gerçekliğin mümkün kıldığı yeni saldırı senaryolarıyla daha çok ilgileniyor.
(Ibe)