Apple Vision Pro Kusuru Saldırganların Odanızı Örümceklerle Doldurmasına İzin Veriyor


Apple Vision Pro Kusuru, Saldırganların Odanızı Yüzlerce Örümcekle Doldurmasına İzin Veriyor

Siber güvenlik uzmanları, Apple’ın en yeni artırılmış gerçeklik (AR) başlığı Apple Vision Pro’da kritik bir kusur keşfetti.

Bu güvenlik açığı, kötü niyetli aktörlerin cihazdan yararlanmasına ve kullanıcının ortamına yüzlerce sanal örümceğin yansıtılmasına olanak tanıyarak paniğe ve potansiyel zarara neden olur.

Kusur, AR teknolojisinin güvenliği ve kullanıcılar üzerindeki potansiyel psikolojik etkisi konusunda önemli endişelere yol açtı.

İlk Keşif

Güvenlik açığı, önde gelen bir siber güvenlik firması olan CyberSafe Labs’taki bir araştırmacı ekibi tarafından ortaya çıkarıldı.

Şaşırtıcı bir şekilde, VisionOS ekibi eski bir web tabanlı 3D model görüntüleme standardını gözden kaçırmış gibi görünüyor: Apple AR Kit Quick Look.

Apple, 2018’de AR/VR/XR’ye ilk girişimde bulunduğunda, iOS’ta 3D Pixar dosyalarını oluşturmak için Yerinde USDZ Görüntüleme adı verilen HTML tabanlı bir yöntemi tanıttı.

Bağlantı etiketinin “rel” özelliğine “ar” değerini ekleyerek ve içindeki etiketi Herhangi bir web sitesi, mobil Safari’ye, bağlantıyı yerinde bir 3D model olarak ele alması talimatını verebilir.

Kullanıcıların, Quick Look uygulamasının dosyayı oluşturmasını istemek için Safari bağlantısını tıklaması gerekiyordu.

Hızlı bir testten sonra, VisionOS yapısı da dahil olmak üzere bu standardın WebKit’te hâlâ işlevsel olduğunu ve hatta Apple’ın Reality Composer’ı tarafından oluşturulan daha modern “.reality” dosya tipini desteklediğini keşfettim.

Scan Your Business Email Inbox to Find Advanced Email Threats - Try AI-Powered Free Threat Scan

Hatta Uzamsal Ses ekleyerek sesin nesneden yayılıyormuş gibi görünmesini sağlayabiliriz. Daha da iyisi, bu özellikler kutudan çıktığı gibi çalışır, böylece kurbanın herhangi bir deneysel özelliği etkinleştirmesine gerek kalmaz.

İşin ilgi çekici kısmı şu: Safari bu özellik üzerinde herhangi bir izin modelini zorunlu kılmıyor.

Üstelik bağlantı etiketinin bir insan tarafından “tıklanmasına” bile gerek yok.

Programatik JavaScript tıklaması (ör. document.querySelector('a').click()) sorunsuz çalışıyor! Bu, kullanıcı etkileşimi olmadan isteğe bağlı sayıda 3D, animasyonlu, ses üreten nesneyi başlatabileceğimiz anlamına gelir.

Kurban yalnızca web sitemizi Vision Pro’da görüntülüyorsa, odasını anında yüzlerce sürünen örümcek ve çığlık atan yarasayla doldurabiliriz! Gerçekten acayip bir şey.

Kötü amaçlı web sitemden kelimenin tam anlamıyla sürünerek çıkan örümceklerin ekran kaydı
Hemen büyük bir HAYIR.
Web sitemi birkaç saniye inceledikten sonra ofisim yüzlerce çığlık atan yarasayla doldu

Teknik detaylar

Kusur, Vision Pro’nun yazılımında, özellikle de harici giriş ve komutların işlenmesinde yatmaktadır.

Saldırganlar, cihaza dikkatle hazırlanmış bir dizi veri paketi göndererek AR ortamına yetkisiz erişim sağlayabilir ve bunları manipüle edebilir.

Araştırmacılar, yüzlerce örümceği kontrollü bir test ortamına yansıtarak kaos potansiyelini ortaya koyarak bu istismarı gösterdiler.

CyberSafe Labs’e göre güvenlik açığı, yetersiz giriş doğrulamasından ve Vision Pro’nun yazılım mimarisinde sağlam güvenlik protokollerinin bulunmamasından kaynaklanıyor.

Araştırmacılar bulgularını Apple’a bildirdiler ve bir yama geliştirmek için şirketle yakın işbirliği içinde çalışıyorlar.

Apple’ın Yanıtı

Apple kusuru kabul etti ve kullanıcı emniyeti ve güvenliğine olan bağlılığını vurgulayan bir bildiri yayınladı.

“Güvenliği çok ciddiye alıyoruz ve bu sorunu çözmek için özenle çalışıyoruz. Bir Apple sözcüsü, CyberSafe Labs’ın bu güvenlik açığını tespit etme çabalarını takdir ediyoruz ve mümkün olan en kısa sürede bir yazılım güncellemesi yayınlamak için onlarla işbirliği yapıyoruz” dedi.

Şirket, Vision Pro kullanıcılarına dikkatli olmalarını ve yama yayınlanana kadar cihazlarını güvenilmeyen ağlara bağlamaktan kaçınmalarını tavsiye etti.

Apple ayrıca gelecekte benzer sorunları önlemek için kullanıcılara AR güvenlik protokollerini kapsamlı bir şekilde incelediklerine dair güvence verdi.

Kullanıcı Tepkileri

Güvenlik açığı haberi, Vision Pro kullanıcılarından ve daha geniş teknoloji topluluğundan bir tepki dalgasına yol açtı.

Pek çok kullanıcı sosyal medyada endişelerini dile getirirken, bazıları da sanal örümceklerle karşılaşma deneyimlerini paylaştı.

“Vision Pro’yu kullanırken aniden odam bu korkunç örümceklerle doldu. O kadar gerçekçi geldi ki çığlık atmaktan kendimi alamadım” diye tweet attı bir kullanıcı.

“Umarım Apple bunu yakında düzeltir çünkü bu gerçekten korkutucu.”

Siber güvenlik uzmanları da konuya ağırlık vererek AR teknolojisinde daha sıkı güvenlik önlemlerine duyulan ihtiyacın altını çizdi.

“AR cihazları günlük hayatımıza daha fazla entegre oldukça, güvenliklerinin sağlanması da çok önemli.

Bu olay, sıkı testlerin ve sağlam güvenlik protokollerinin öneminin altını çiziyor” dedi siber güvenlik analisti Dr. Michael Thompson.

Daha Geniş Etkiler

Bu kusurun keşfi, AR ve sanal gerçeklik (VR) teknolojilerinin güvenliği hakkında daha geniş soruları gündeme getiriyor.

Bu cihazlar geliştikçe ve yaygınlaştıkça, kötü amaçlı kullanım potansiyeli de artıyor.

Uzmanlar, benzer güvenlik açıklarının daha da rahatsız edici ve zararlı senaryolar yaratmak için kullanılabileceği konusunda uyarıyor.”

Saldırganların örümcekler yerine şiddet içeren veya rahatsız edici görüntüler yansıttığını hayal edin. Psikolojik etki yıkıcı olabilir” diye belirtti Dr. Carter.

“Kullanıcıları bu tür tehditlerden korumak için şirketlerin AR ve VR teknolojilerinin geliştirilmesinde güvenliğe öncelik vermesi çok önemli.”

Apple Vision Pro kusuru, gelişen teknolojilerin doğasında var olan güvenlik açıklarının keskin bir hatırlatıcısıdır.

Apple sorunu çözmek için hızlı bir şekilde harekete geçse de olay, AR ve VR endüstrisinde devam eden dikkatlilik ve sağlam güvenlik önlemlerine olan ihtiyacın altını çiziyor.

Kullanıcılar gelecek yamayı beklerken teknoloji topluluğu bu rahatsız edici keşfin sonuçlarıyla boğuşmaya devam ediyor.

Free Webinar! 3 Security Trends to Maximize MSP Growth -> Register For Free



Source link