Apple abordó recientemente una vulnerabilidad crítica en sus auriculares Vision Pro, una falla que permitía que sitios web maliciosos inundaran los entornos virtuales de los usuarios con objetos animados en 3D, como arañas y murciélagos.
El descubrimiento de esta vulnerabilidad se atribuye a Ryan Pickren, un investigador con una notable trayectoria en la identificación de problemas de seguridad dentro del ecosistema de Apple. Pickrenidentificadoque el error se originó en la forma en que visionOS, el sistema operativo que impulsa Vision Pro, manejaba modelos 3D basados en web a través del Apple AR Kit Quick Look. Introducido en 2018 para iOS, este estándar permitía a los sitios web integrar objetos 3D en el entorno de un usuario sin necesidad de un permiso explícito. Esta laguna permitió a los sitios maliciosos eludir los protocolos de seguridad de Apple, permitiéndoles efectivamente poblar el espacio virtual de un usuario con numerosos objetos animados que producen sonido.
Lea también:iOS 17.6.1 corrige un error crítico de protección de datos avanzada
Los hallazgos de Pickren revelaron una vulnerabilidad sencilla: simplemente visitar un sitio web malicioso a través de Safari en Vision Pro podría desencadenar el error. Una vez activado, los usuarios podrían encontrar sus espacios virtuales abrumados por arañas que se arrastran y murciélagos chillones, con audio espacial para realzar la experiencia de inmersión. Es preocupante que estos objetos 3D persistieran incluso después de salir de Safari, ya que eran administrados por una aplicación separada, lo que complicaba su eliminación.
Las implicaciones de este error fueron particularmente graves para los usuarios con fobias a las arañas o los murciélagos. La aparición repentina y no deseada de estas criaturas en el espacio virtual de uno podría provocar un malestar psicológico significativo. Más allá del factor miedo, el inconveniente práctico de eliminar manualmente cada objeto 3D tocándolos aumentó la frustración, mostrando el potencial disruptivo de esta vulnerabilidad.
Al descubrir el error, Pickren lo informó rápidamente a Apple en febrero. En respuesta, Apple lanzó un parche en la actualización visionOS 1.2 de junio, que mejoró el protocolo de manejo de archivos para frustrar exploits similares. Inicialmente, Apple clasificó la vulnerabilidad CVE-2024-27812 como un problema de denegación de servicio (DoS). Sin embargo, Pickren argumentó que esta clasificación no encapsulaba completamente la gravedad del error, y abogó por un modelo de amenaza más matizado para la computación espacial para abordar mejor estas vulnerabilidades únicas.
El enfoque proactivo de Apple para mejorar la seguridad de Vision Pro no se limitó a corregir el error. En la WWDC 2024, el gigante tecnológico presentó visionOS 2, que presenta una variedad de nuevas herramientas y mejoras. Estos incluyen la capacidad de convertir cualquier fotografía en una fotografía espacial, nuevos controles de gestos y actualizaciones sustanciales de la pantalla virtual de Mac, como compatibilidad con pantalla ultra ancha. El lanzamiento de visionOS 2 está programado para septiembre, junto con otras actualizaciones importantes como iOS 18, macOS Sequoia, iPadOS 18 y Apple Intelligence, el conjunto de herramientas integradas de inteligencia artificial de la compañía.
El reciente error de Vision Pro expuso una brecha de seguridad crítica en los auriculares AR insignia de Apple. Este incidente pone de relieve la urgente necesidad de que Apple adapte sus protocolos de seguridad a las amenazas únicas que plantea la realidad aumentada. Dado que se espera que la RA se integre más en la vida diaria, vulnerabilidades como ésta pueden causar no sólo frustración sino también un malestar psicológico potencialmente significativo.
Para mantener la confianza de los usuarios, Apple debe priorizar la vigilancia continua, parchear las vulnerabilidades rápidamente y desarrollar modelos de seguridad sólidos diseñados específicamente para experiencias de RA.