Apple Vision Pro: Horror-Hack – Forscher lässt hunderte Spinnen auf euch los
Ein Sicherheitsforscher konnte Apples Vision Pro hacken und den physischen Raum mit virtuellen Spinnen und Fledermäusen fluten – ohne Erlaubnis von Nutzer:innen.
Der Forscher Ryan Pickren, der auf Sicherheitslücken von Apple-Produkten spezialisiert ist, hat eine Schwachstelle in Apples Vision Pro identifiziert. Über diese konnte er den virtuellen Arbeitsbereich von Nutzer:innen ferngesteuert und ohne deren Erlaubnis mit Hunderten von Mixed-Reality-Spinnen und Fledermäusen überfluten. Aber keine Sorge: Apple hat die Sicherheitslücke bereits geschlossen.
In einem detaillierten Bericht beschreibt Pickren, wie er die Schwachstelle ausnutzen konnte. Demnach hat sich die Sicherheitslücke in Safari für visionOS befunden. Pickren konnte durch eine bösartige Webseite die Benutzererlaubnis umgehen und einen Raum mit einer beliebigen Menge an voll animierten 3D-Objekten füllen.
„Wenn das Opfer unsere Website nur in Vision Pro ansieht, können wir den Raum sofort mit Hunderten von krabbelnden Spinnen und kreischenden Fledermäusen füllen“, erklärt Pickren. Das Schließen von Safari stoppte die virtuelle Spinnenplage nicht. Die einzige Möglichkeit, sie loszuwerden, bestand darin, durch den Raum zu laufen und jede Einzelne physisch anzutippen.
Möglich war der Hack durch einen alten Standard zur Anzeige von 3D-Modellen im Web, den „Apple AR Kit Quick Look“ von 2018. Dieser funktionierte ohne Erweiterung und erforderte daher kein experimentelles Feature. Da Safari für diesen Standard kein Berechtigungsmodell vorsah und Nutzer:innen nicht auf einen Link klicken mussten, konnte er ferngesteuert und ohne Nutzerinteraktion ausgenutzt werden. Die vollständige Dokumentation inklusive Beispielvideo findet ihr am Ende des Artikels über den Link in der Quellenangabe.
MIXED.de ohne Werbebanner- Zugriff auf mehr als 9.000 Artikel
MIXED.de ohne Werbebanner- Kündigung jederzeit online möglich
Sicherheitslücken auch in Quest- und HTC-Headsets aufgedeckt
Sicherheitslücken in VR-Systemen, die es Angreifern ermöglichen, in die Privatsphäre der Nutzer:innen einzudringen, wurden auch schon bei anderen VR-Headsets aufgedeckt – auch, wenn die tatsächliche Gefahr, in VR gehackt zu werden, als gering einzuschätzen ist. Eine Studie der Universität Chicago zeigte beispielsweise eine Schwachstelle in Metas Quest-Betriebssystem auf.
Die Forschenden schleusten schädlichen Code über eine App in das VR-System ein, der einen digitalen Klon der Home-Umgebung erstellte. Einmal im System konnten sie alles sehen, aufzeichnen und manipulieren, was die Nutzer:innen mit dem Headset machten, einschließlich Sprache, Gesten, Tastatureingaben und Browseraktivitäten.
Bereits 2018 hatten US-Computerspezialisten in einem Test die PC-VR-Headsets Oculus Rift und HTC Vive gehackt und sensible Nutzerdaten gestohlen. Sie infizierten einen Computer mit Malware, um Zugriff auf die schlecht geschützte OpenVR-Schnittstelle zu erlangen.
Hinweis: Links auf Online-Shops in Artikeln können sogenannte Affiliate-Links sein. Wenn ihr über diesen Link einkauft, erhält MIXED.de vom Anbieter eine Provision. Für euch verändert sich der Preis nicht.
