Apple Vision Pro : une faille permettait aux sites d’afficher des objets 3D sans autorisation
Avec visionOS 1.2, Apple a corrigé une faille de sécurité (CVE-2024-27812) qui permettait aux sites d’Internet d’afficher des objets 3D un peu partout, sans nécessiter l’autorisation de l’utilisateur. Ryan Pickren, qui a découvert la faille, a notamment fait apparaitre des chauves-souris et des araignées.
Par défaut, l’Apple Vision Pro a ce qui s’appelle Shared Space. Cela signifie que les applications natives agissent de manière prévisible et peuvent être facilement fermées. Si une application souhaite une expérience plus immersive, elle doit recevoir l’autorisation explicite de l’utilisateur par le biais d’une invite au niveau du système d’exploitation qui la place dans un contexte Full Space de confiance.
Le problème est qu’Apple travaille sur la réalité augmentée depuis quelques années maintenant et qu’une fonctionnalité dédiée a été conçue en 2018. Il s’agit de l’Apple AR Kit Quick Look. La société a développé une méthode basée sur le HTML dans iOS pour le rendu des fichiers 3D de Pixar, appelée In-Place USDZ Viewing.
Il se trouve que cet élément précis, qui est lié à WebKit, le moteur de rendu de Safari, est toujours présent dans Safari. Et comme ça date d’avant l’Apple Vision Pro, il n’y a pas les protections nécessaires pour le casque. Ainsi, un site peut utiliser un certain code au niveau du JavaScript pour afficher des objets 3D sur le Vision Pro, sans que l’utilisateur donne son feu vert. Il peut même avoir du son, c’est dire.
Fort heureusement, Apple a corrigé le tir avec visionOS 1.2. Pour sa part, Ryan Pickren a reçu un paiement de la part d’Apple pour la découverte de la faille de sécurité. Mais le montant n’est pas dévoilé publiquement.