Apple Vision Pro başlığında yakın zamanda keşfedilen bir güvenlik açığı (CVE-2024-27812), bilgisayar korsanlarının cihaz güvenlik mekanizmalarını aşmasına ve Safari’deki bir istismar yoluyla kullanıcının ortamlarını örümcekler ve böcekler gibi animasyonlu 3 boyutlu nesnelerle doldurmasına olanak tanıdı. Bu nesneler Safari’den çıktıktan sonra bile varlığını sürdürüyor ve benzersiz derecede rahatsız edici bir ortam oluşturuyordu.
Apple, güvenlik araştırmacısı Ryan Pickren’in kusuru Şubat ayında açıklayıp araştırmacıya ödül vermesinin ardından bu ay bu güvenlik açığını ele aldı. Hata, ‘uzaysal bilgi işlem’ cihazlarının güvenliğinin sağlanmasındaki zorlukları vurguluyor.
Apple Vision Pro Cihazlarında Uzamsal Hack
Apple, Vision Pro’yu sıkı gizlilik kontrolleriyle tasarladı. Buna, cihaz uygulamalarının varsayılan bir ‘Paylaşılan Alan’ ile sınırlandırılması ve daha ilgi çekici ve sürükleyici içerik için açık kullanıcı izninin zorunlu kılınması da dahildir. Web sitelerinin ayrıca kullanıcının fiziksel ortamında 3D içerik oluşturmak için açık kullanıcı izni alması gerekir.
Ancak Pickren, iOS için 2018’de tanıtılan AR Hızlı Bakış özelliğinin, uygun güvenlik önlemleri uygulanmadan VisionOS’ta etkin kaldığını keşfetti. Bu gözetim, web sitelerinin HTML bağlantı etiketlerini değiştirerek animasyonlar ve uzamsal ses ile birlikte sınırsız 3D nesneler oluşturmasına olanak tanıdı.
Kötü amaçlı web siteleri, web sayfalarına belirli bağlantı etiketleri ekleyerek, şaşırtıcı bir şekilde herhangi bir kullanıcı etkileşimi olmadan Safari’ye 3 boyutlu bir model oluşturma talimatı verebilir. Pickren, “Kurban web sitemizi Vision Pro’da görüntülüyorsa, odasını anında yüzlerce sürünen örümcek ve çığlık atan yarasayla doldurabiliriz” diye açıkladı. “İğrenç şeyler” diye bağırdı.
Araştırmacı, yararlanma kodunun basit olduğunu ve Safari’yi kapatmanın 3 boyutlu nesnelerden kurtulmadığını, çünkü bunlar ayrı bir uygulama tarafından yönetildiğini belirtti.
Pickren, “İşleri daha da tuhaf hale getirmek için, bu animasyonlu dosyalar ayrı bir uygulama (Quick Look) tarafından yönetildiği için Safari’yi kapatmak onlardan kurtulmaz” dedi. Şöyle ekledi: “Odanın içinde elle dolaşıp her birine fiziksel olarak dokunmaktan başka onlardan kurtulmanın bariz bir yolu yok.”
Hata Raporlama ve Güvenlik Açığı Değerlendirmesindeki Boşluklar
Kusuru Apple’a açıklamaya çalıştıktan sonra araştırmacı, teknoloji devinin mekansal hesaplama ve 3 boyutlu nesnelerin oluşturulmasıyla olan ilişkisini küçümsediğini, bunun yerine sistem çökmeleri ve yeniden başlama potansiyeline odaklandığını hissetti.
CVE açıklamasında, araştırmacının hatayla ilgisi olmadığına inandığı dosya işleme protokolünün iyileştirilmesiyle sorunun çözüldüğü iddia edildi. Bu, Uzamsal Bilgi İşlem gibi yeni ortaya çıkan alanlardaki hataların önceliklendirilmesi ve sınıflandırılmasının zorluklarını vurgulamaktadır.
Araştırmacı, hatanın etkisinin basit sistem çökmelerinin veya yeniden başlatılmasının ötesine geçerek teknolojinin güvenliği ve gizliliği ile mevcut tehdit modellerinin yeniden değerlendirilmesi ihtiyacı hakkında soruları gündeme getirdiğine inanıyor.
Pickren, “Belki de Apple’ın Vision Pro tehdit modelini yeniden değerlendirmesinin zamanı gelmiştir” dedi. “Bu son derece kişisel bir ürün ve klasik güvenlik açığı tetikleme yönergeleri artık tam etkiyi yakalayamayabilir.”
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.