Seorang peneliti keamanan siber dan pemburu bug bernama Ryan Pickren mengklaim telah menemukan “peretasan komputasi spasial pertama di dunia”, yang memungkinkan aktor jahat memenuhi kantor korban yang mengenakan headset Apple Vision Pro dengan laba-laba merayap yang menyeramkan.
“Saya menemukan bug di visionOS Safari yang memungkinkan situs web jahat melewati semua peringatan dan secara paksa memenuhi ruangan Anda dengan objek animasi 3D dalam jumlah berapa pun,” tulis Pickren di postingan blog. “Objek ini tetap berada di ruang Anda bahkan setelah Anda keluar dari Safari.”
Untungnya bagi pengguna Vision Pro, Pickren melaporkan bug tersebut ke Apple pada bulan Februari, dan perusahaan memperbaikinya pada bulan Juni dokumentasi resmi di situs web perusahaan menunjukkan.
Namun, hal ini menunjukkan bahwa pelaku jahat dapat dengan mudah mengeksploitasi browser yang dimasukkan ke dalam sistem operasi VisionOS headset dan membuat korbannya terkejut.
“Kalau korbannya saja melihat situs web kami di Vision Pro, kami dapat langsung memenuhi ruangan mereka dengan ratusan laba-laba merayap dan kelelawar yang menjerit-jerit!” tulis Pickren. “Hal-hal aneh.”
Pickren menghasilkan kode eksploitasi singkat yang dapat mengirim file animasi melalui situs web sederhana ke headset tanpa sepengetahuan pemakainya.
“Ternyata sangat mudah untuk menemukan celah dalam model izin VisionOS Spatial Computing,” tulis Pickren.
“Masalah ini muncul ketika fitur iOS lama di-porting ke visionOS melalui versi WebKit terbaru,” kata Pickren. Futurisme dalam email, mengacu pada mesin yang mendukung browser Safari Apple. “Bug tidak benar-benar ada di iOS, ini adalah persilangan antara platform komputasi spasial baru dan fitur lama yang menciptakan pelanggaran privasi/keamanan.”
Berita ini muncul setelah peretas lain menemukan eksploitasi serupa yang juga memengaruhi WebKit Apple. Hanya sehari setelah rilis review untuk Vision Pro, Apple mengeluarkan patch keamananmengutip kerentanan yang “mungkin telah dieksploitasi” oleh peretas.
Seorang mahasiswa PhD di MIT juga mengaku telah diretas headset pada bulan Februari, dengan “eksploitasi kernel” yang menyebabkannya mogok dan reboot.
Namun, peretasan terbaru ini jauh lebih mengerikan dari itu. Pickren membagikan beberapa video yang menunjukkan laba-laba “merangkak keluar dari situs web jahat saya”, dan menyebar ke seluruh mejanya.
Klip lain menunjukkan “ratusan kelelawar berteriak” memenuhi kantornya dan mengelilingi kepalanya.
Lebih buruk lagi, untuk menghapus pengunjung yang tidak diinginkan, pengguna harus secara manual menjalankan “keliling ruangan untuk mengetuk masing-masing pengunjung secara fisik” karena “menutup Safari tidak akan menghilangkan mereka.”
Ini adalah peretasan yang sama lucu dan menakutkannya yang menyoroti beberapa kesalahan mencolok terkait perangkat seharga $3.500 yang menghabiskan seluruh bidang penglihatan Anda.
Namun, Pickren memiliki gambaran mengapa bug tersebut tidak terdeteksi hingga sekarang.
“Saya pikir menentukan prioritas laporan bug sangat sulit dan taksonomi klasifikasi kerentanan yang kaku tidak selalu berhasil,” kata Pickren Futurisme. “Anda tidak akan menemukan isu ‘mengisi kamar korban dengan laba-laba’ [Common Vulnerability Scoring System] Hal ini dapat dimengerti sehingga menyulitkan analis keamanan untuk mengklasifikasikan berbagai permasalahan yang secara eksklusif berdampak pada platform komputasi yang benar-benar baru.”
Adapun masa depan dari headset itu sendiri, Informasi melaporkan minggu ini bahwa Apple telah menyerah pada perangkat generasi berikutnya dan malah berfokus pada versi yang lebih murah dan tidak terlalu ambisius. Raksasa teknologi ini telah berjuang dengan penjualan yang lesu dan menurunnya minat.
Yang lebih rumit lagi, perusahaan masih memiliki banyak bug yang harus diatasi.
“Saya berharap Apple menggunakan laporan ini sebagai peluang untuk menilai dampaknya secara lebih holistik dan melindungi pengalaman pelanggan,” kata Pickren Futurisme. “Saya berharap dapat bekerja sama lagi dengan Apple di masa depan.”
