Zum Hauptinhalt Zur Navigation
Abo testen Anmelden
Deals
Rack & StackSecurityWirtschaftEnergie & KlimaHardware

Horror auf dem Vision Pro: Exploit schleust Spinnen und Fledermäuse in den Raum

Damit der Angriff gelingt, muss der Vision-Pro -Nutzer lediglich eine präparierte Webseite aufrufen. Der Raum füllt sich daraufhin mit gruseligen Tierchen, inklusive Sound.
/ Marc Stöckel
Kommentare News folgen (öffnet im neuen Fenster)
Durch eine Sicherheitslücke können Angreifer das Sichtfeld der Vision Pro mit Spinnen füllen. (Bild: DAVID SWANSON/AFP via Getty Images)
Durch eine Sicherheitslücke können Angreifer das Sichtfeld der Vision Pro mit Spinnen füllen. Bild: DAVID SWANSON/AFP via Getty Images

Ein Sicherheitsforscher namens Ryan Pickren hat einen Exploit entwickelt, mit dem es ihm möglich war, beliebige animierte 3D-Objekte in das Sichtfeld von Nutzern einem Apple Vision Pro zu schleusen. In einem Blogbeitrag(öffnet im neuen Fenster) demonstriert der Forscher den Angriff anhand von virtuellen Spinnen und Fledermäusen, die plötzlich in großer Anzahl den Raum des Trägers des kostspieligen VR-Headsets füllen.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
Berliner Landesnetz Standardnetzzugang Koordinator*in IT-Dienstleistungszentrum (ITDZ Berlin), Berlin (öffnet im neuen Fenster)
Teamleiter*in Anwendungsentwicklung (m/w/div) Deutsche Rentenversicherung Bund, Würzburg (öffnet im neuen Fenster)
Softwareentwickler (m/w/d) SPS Beckhoff Automation GmbH & Co. KG, Verl (öffnet im neuen Fenster)
Datenschutzkoordinator*in (m/w/div) Deutsche Rentenversicherung Bund, Berlin,Würzburg (öffnet im neuen Fenster)
Technischer Experte (m/w/d) Batteriesysteme Bahn - Internationaler Service & Support HOPPECKE Systemtechnik GmbH, Zwickau (öffnet im neuen Fenster)
Auszubildende zur Fachinformatikerin / zum Fachinformatiker der Fachrichtung Systemintegration (w/m/d) Landesamt für Zentrale Polizeiliche Dienste NRW - LZPD, Duisburg (öffnet im neuen Fenster)
Senior Entwickler:in Schnittstellen / Integration (m/w/d) Hörmann Deutschland, Steinhagen (öffnet im neuen Fenster)
Senior Data Engineer / Senior Data Analytics Developer (m/w/d) SDX AG, Frankfurt (öffnet im neuen Fenster)

Damit der Angriff erfolgreich ist, muss ein Zielnutzer laut Pickren lediglich mit dem Safari-Browser eine speziell präparierte Webseite aufrufen. Um die animierten 3D-Objekte daraufhin im Sichtfeld des Vision Pro erscheinen zu lassen, sei zwar auf der Webseite ein Klick erforderlich, dieser lasse sich jedoch auch automatisiert per Javascript ausführen.

Normalerweise müsse der Nutzer eines Vision Pro einer Anwendung zuvor über eine Sicherheitsabfrage ausdrücklich die Erlaubnis erteilen, sein Sichtfeld mit Objekten zu füllen. Aufgrund einer Sicherheitslücke, die Pickren nach eigenen Angaben beim "Durchwühlen alter WebKit-Anleitungen" entdeckt hat, konnte er dies aber umgehen.

Spinnen und Fledermäuse per Seitenaufruf

"Das bedeutet, dass wir eine beliebige Anzahl von 3D-Objekten, die animiert sind und Sound erzeugen, ohne jegliche Benutzerinteraktion erzeugen können" , erklärt der Forscher. "Wenn das Opfer nur unsere Webseite mit des Vision Pro aufruft, können wir sein Zimmer sofort mit Hunderten von krabbelnden Spinnen und kreischenden Fledermäusen füllen!"

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Die gruseligen Lebewesen nach einem erfolgreichen Angriff wieder loszuwerden, ist laut Pickren nicht einfach. Das Schließen von Safari reiche dafür nicht aus, da die 3D-Objekte von einer separaten Anwendung namens Quick Look verwaltet würden. Obendrein verfüge Vision OS über keine Benutzeroberfläche für geöffnete Apps. Dem Anwender bleibe also nichts anderes übrig, als durch den Raum zu laufen und jedes Objekt manuell anzutippen.

Die von Pickren ausgenutzte Sicherheitslücke ist als CVE-2024-27812(öffnet im neuen Fenster) registriert und wurde mit Version 1.2 von Vision OS geschlossen(öffnet im neuen Fenster) . Apple hat die Lücke lediglich als DoS-Schwachstelle klassifiziert, mit der sich anfällige VR-Headsets mit einer großen Anzahl erzeugter 3D-Objekte zum Absturz bringen lassen. Laut Pickren wird Apples Fehlerbeschreibung aber den möglichen Auswirkungen nicht gerecht, die ein solcher Angriff nach sich ziehen kann - beispielsweise auf psychologischer Ebene.

Zur Startseite Kommentare

Relevante Themen

Vision ProWebseitenTechnik/HardwareMobile EndgeräteSecuritySicherheitslückeUpdates & PatchesAppleSafariVR