AppleのVision Proが発売日にハッキングされる

Appleが大いに期待されていた混合現実ヘッドセット、Apple Vision Proを発売してから数時間以内に、セキュリティ研究者がデバイスのソフトウェアであるvisionOSにおいて重大なカーネル脆弱性を発見しました。この脆弱性が悪用されると、脱獄やマルウェア攻撃を可能にする恐れがあります。

マサチューセッツ工科大学（MIT）のマイクロアーキテクチャセキュリティの専門家であるジョセフ・ラヴィチャンドラン（@0xjprx）は、金曜日の夜遅くにX（旧Twitter）に投稿し、特定されたカーネル脆弱性についての見解を共有しました。この脆弱性は、visionOSに関する最初の公に開示されたカーネルエクスプロイトであると考えられています。

デバイスがクラッシュすると、フルパススルーに切り替わり、再起動のために30秒以内にデバイスを取り外すよう警告が表示されます。かなりクールな写真です pic.twitter.com/f4KYxSiVsq — ジョセフ・ラヴィチャンドラン (@0xjprx) 2024年2月3日

投稿の中で、ラヴィチャンドランは発見された欠陥の深刻さを強調する一連の写真を共有し、カーネルエクスプロイトの試行に対するヘッドセットの反応を示しました。

カーネルエクスプロイトがテストされると、Vision Proはクラッシュし、フルパススルービューに切り替わり、着用者にヘッドセットを30秒以内に取り外すよう通知します（着用者の頭から）。

再起動すると、ヘッドセットのカーネルクラッシュを示すパニックログが表示されます。また、セキュリティ研究者が共有した別の写真には、「Vision Pro Crasher」というカスタムアプリケーションが表示されており、ヘッドセットを着用した3Dの頭蓋骨と「Crash My Vision Pro」というテキストのボタンが含まれています。

ラヴィチャンドランが自らの発見をAppleに提出する予定なのか、すでに会社に提示したのかは不明です。

もし彼がクパチーノのテクノロジー大手に発見を報告することを選んだ場合、彼の発見がAppleのセキュリティバウンティプログラムに適格となる可能性は低いです。

しかし、Appleがセキュリティ脆弱性に迅速に対処する歴史と、Apple Vision Proのプレミアムな性質を考慮すると、問題が開示された場合、会社はすぐに修正を発行する可能性が高いです。