Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Vision Pro: Horror-Exploit bringt virtuelle Spinnen in die eigenen vier Wände

Manipulierte Webseiten sind in der Lage, die Umgebung des Headset-Trägers ohne dessen Zustimmung zu manipulieren. Ein Patch liegt bereits vor.

In Pocket speichern vorlesen Druckansicht 11 Kommentare lesen

Plötzlich sind wuselnde Spinnen auf dem Schreibtisch – das könnte bei manchem Nutzer eine Kernel Panic auslösen.

(Bild: Screencap: Ryan Pickren)

Lesezeit: 2 Min.
Mac & i
Von

'Spatial Computing' enthält räumliche Bugs: Ein Fehler im Safari-Unterbau WebKit erlaubt es Angreifern, allein bei Aufruf einer Webseite unerwünschte digitale Elemente in die physische Umgebung eines Vision-Pro-Nutzers einzuschleusen. Das lässt sich etwa dafür ausnutzen, um den Schreibtisch und das Zimmer des Headset-Trägers überraschend mit Spinnen und Fledermäusen zu fluten, wie ein Sicherheitsforscher jetzt demonstrierte. Apple hat die Schwachstelle mit visionOS 1.2 beseitigt.

3D-Dateien übernehmen ungehindert die Umgebung

Bevor eine visionOS-App die physische Umgebung übernehmen respektive manipulieren kann, muss der Nutzer gewöhnlich erst zustimmen. Auch im Browser Safari sind die Hürden hoch, erläutert der Entwickler Ryan Pickren, der den Bug an Apple gemeldet hat. Über WebXR ausgespielte VR-Inhalte sowie stereoskopische 180/360-Grad-Videos werden erst nach Zustimmung des Nutzers ausgeliefert. Für eine Vorschau von 3D-Dateien in den Formaten USDZ und .reality gab es aber keine Abfrage, bemerkte Pickren. Solche 3D-Modelle lassen sich einfach auf einer Webseite einbinden und bei Aufruf direkt programmatisch starten, der Nutzer muss dafür also nicht weiter anklicken.

Durch seinen Exploit werde der Raum des Headset-Trägers sofort von Hunderten an krabbelnden Spinnen sowie kreischenden Fledermäusen gefüllt, auch die Wiedergabe von Sound sei nämlich möglich. Zusätzlich problematisch ist, dass es keinen unmittelbaren Notausstieg gibt – außer sich das Headset vom Kopf zu reißen. Die 3D-Elemente laufen nämlich in einem eigenen Prozess der Quick-Look-Vorschau und nicht in Safari, erläutert Pickren. Schließt der verschreckte Nutzer schnell den Browser, wird er die Spinnen dadurch also nicht los.

Neue Angriffsszenarien für Mixed Reality

Der Bug sei letztlich einfach zu finden gewesen, schreibt der Sicherheitsforscher, er habe dafür nur etwas in älterer WebKit-Dokumentation graben müssen, bis er die "vernachlässigte Angriffsfläche" gefunden habe. Apple hat den Bug als einen Denial-of-Service-Angriff dokumentiert, ab einer gewissen Zahl an 3D-Modellen könne man das Headset damit auch zum Absturz bringen, merkt der Entwickler an. Er sei aber mehr interessiert an solchen neuen Angriffsszenarien, die durch Mixed Reality möglich werden.

Lesen Sie auch

(lbe)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten