VisionOS: Kerentanan kernel ditemukan di Apple Vision Pro

Seorang mahasiswa pascasarjana MIT mengklaim telah menemukan kerentanan pada perangkat lunak driver perangkat tepat setelah peluncuran headset Vision Pro VR Apple. Pada hari Senin, 3 Februari Pada X postingan yang dibagikan Joseph Ravichandran, penemu kerentanan, mendukung klaimnya dengan tangkapan layar dan gambar yang sesuai.

“Jika perangkat gagal, perangkat akan beralih ke passthrough penuh dan menampilkan peringatan.”Ravichandran menjelaskan. Pesan tersebut meminta pengguna untuk melepas headset. Layar akan meredup dalam waktu 30 detik karena perlu reboot.

Salah satu tangkapan layar yang diambil oleh Ravichandran menunjukkan sebuah aplikasi yang mungkin digunakan oleh mahasiswa pascasarjana tersebut untuk menonaktifkan headset. Ini disebut Vision Pro Crasher dan menampilkan ikon tengkorak yang memakai headset VR. Sebuah tombol akan muncul di bawah bertuliskan Penglihatan saya terhenti.

Ravichandran juga menunjukkan tangkapan layar dari log kerusakan. Sebagian besar disamarkan, tetapi Anda dapat, misalnya, melihat informasi tentang versi kernel headset dan waktu henti pada tanggal 2 Februari.

Eksploitasi jailbreak dimungkinkan

Eksploitasi kernel sangat menarik untuk mengembangkan jailbreak. Yang terakhir ini memungkinkan pengguna untuk menghapus batasan penggunaan yang diberlakukan oleh produsen perangkat dan dengan demikian memberikan akses ke fungsi yang dilarang, mengubah antarmuka grafis sistem operasi atau menginstal aplikasi yang belum disetujui oleh produsen. Jailbreak sudah sering muncul di masa lalu, terutama untuk perangkat Apple.

Dengan melakukan jailbreak, pengguna bisa mendapatkan kontrol lebih besar atas Vision Pro dan menggunakan headset VR dengan cara yang tidak pernah diinginkan Apple. Apakah kerentanan yang ditemukan oleh Ravichandran cukup untuk mengembangkan jailbreak yang efektif masih diragukan saat ini.

Patch untuk VisionOS hadir pada akhir Januari

Baru pada tanggal 31 Januari Apple merilis pembaruan keamanan untuk sistem operasi VisionOS-nya, Vision Pro, versi 1.0.2. diterbitkan. Dengan demikian, kelompok tersebut menyingkirkan titik lemahnya (CVE-2024-23222), yang memungkinkan penyerang mengeksekusi kode arbitrer pada headset VR yang rentan menggunakan konten web yang dibuat khusus.

Apple mengonfirmasi bahwa perusahaan telah menerima indikasi bahwa kerentanan keamanan ini dapat dieksploitasi. Namun, masalah ini juga berdampak pada sistem operasi Apple lainnya, sehingga eksploitasi ini tidak perlu terjadi pada Vision Pro. Masih belum jelas apakah penemuan Ravichandran mungkin didasarkan pada CVE-2024-23222, yang berarti kerusakan tersebut tidak lagi dapat direproduksi pada sistem yang ditambal.