一名安全研究人員在未經(jīng)用戶(hù)許可的情況下入侵了Apple Vision Pro，并讓虛擬蜘蛛和蝙蝠充斥了整個(gè)房間。

專(zhuān)門(mén)尋找蘋(píng)果產(chǎn)品漏洞的研究員Ryan Pickren發(fā)現(xiàn)了Vision Pro的一個(gè)安全漏洞。這讓他在未經(jīng)用戶(hù)許可的情況下遠(yuǎn)程將數(shù)百只混合現(xiàn)實(shí)蜘蛛和蝙蝠“投放”到用戶(hù)虛擬工作空間。請(qǐng)不用擔(dān)心：蘋(píng)果已經(jīng)修復(fù)了這個(gè)漏洞。

Pickren稱(chēng)，該漏洞是在visionOS Safari中發(fā)現(xiàn)的，這使得他能通過(guò)惡意網(wǎng)站繞過(guò)用戶(hù)權(quán)限，并在房間中放置任意數(shù)量的全動(dòng)畫(huà)3D對(duì)象。

Pickren解釋?zhuān)骸叭绻芎φ咧皇窃赩ision Pro中查看我們的網(wǎng)站，我們就能立即讓對(duì)方的房間充滿(mǎn)數(shù)百只爬行的蜘蛛和尖叫的蝙蝠?！保谊P(guān)閉Safari并不能阻止虛擬蜘蛛的侵?jǐn)_，而擺脫它們的唯一方法是繞著房間走一圈，用手敲擊每一只蜘蛛。

此次黑客攻擊基于Web 3D模型舊標(biāo)準(zhǔn)，即2018年版Apple AR Kit Quick Look，該標(biāo)準(zhǔn)無(wú)需擴(kuò)展程序即可運(yùn)行，因此不需要實(shí)驗(yàn)性功能。由于Safari沒(méi)有為該標(biāo)準(zhǔn)提供授權(quán)模型，并且用戶(hù)不必點(diǎn)擊鏈接，因此可作為遠(yuǎn)程漏洞，而無(wú)需用戶(hù)交互。

除了Vision Pro，其他VR頭顯也發(fā)現(xiàn)了系統(tǒng)漏洞，這些漏洞可讓攻擊者侵犯用戶(hù)隱私，例如，芝加哥大學(xué)的一項(xiàng)研究發(fā)現(xiàn)了Meta Quest操作系統(tǒng)中存在漏洞。

研究人員通過(guò)一款創(chuàng)建家庭環(huán)境數(shù)字克隆的應(yīng)用將惡意代碼注入VR系統(tǒng)，一旦進(jìn)入系統(tǒng)，他們就能夠看到、記錄和操縱用戶(hù)使用頭顯所做的一切，包括語(yǔ)音、手勢(shì)、按鍵和瀏覽器活動(dòng)。

2018年，美國(guó)計(jì)算機(jī)專(zhuān)家在測(cè)試中入侵了Oculus Rift和HTC Vive，竊取了敏感的用戶(hù)數(shù)據(jù)，他們用惡意軟件感染了一臺(tái)計(jì)算機(jī)，以獲取保護(hù)不力的OpenVR界面的訪問(wèn)權(quán)限。