@CitizenSec , 09-07-2024
Эксперты по кибербезопасности обнаружили критическую уязвимость в новом устройстве дополненной реальности от Apple — Apple Vision Pro. Эта уязвимость позволяет злоумышленникам запустить сотни виртуальных пауков в окружение пользователя, что может вызвать панику и потенциально нанести вред.
Команда исследователей из CyberSafe Labs выявила эту проблему. Оказалось, что команда разработчиков visionOS пропустила старый стандарт просмотра 3D моделей в интернете — Apple AR Kit Quick Look. При помощи специального кода на веб-сайтах злоумышленники могут заставить устройство отображать 3D модели без согласия пользователя. Например, зайдя на такой сайт, можно увидеть сотни ползающих пауков и слышать звуки, исходящие от них, что вызывает сильное беспокойство.
Исследователи продемонстрировали уязвимость, заполнив комнату тестового пользователя виртуальными пауками. Уязвимость заключается в недостаточной проверке входных данных и отсутствии надежных протоколов безопасности в программном обеспечении Vision Pro.
Apple уже получила информацию о проблеме и работает над исправлением. Компания выпустила заявление, в котором подчеркивается их приверженность безопасности пользователей. Apple советует пользователям Vision Pro избегать подключения устройства к ненадежным сетям до выхода обновления.
На новость о проблеме отреагировали многие пользователи и эксперты по кибербезопасности. Некоторые пользователи поделились в социальных сетях своими пугающими историями о встрече с виртуальными пауками. Эксперты, в свою очередь, подчеркивают необходимость более строгих мер безопасности для технологий дополненной и виртуальной реальности, так как с развитием этих технологий увеличивается и риск их использования в злонамеренных целях.
Этот случай напоминает о важности постоянного внимания к вопросам безопасности в новых технологиях и необходимости их тщательного тестирования. Пока пользователи ждут исправления, сообщество продолжает обсуждать последствия этого открытия.
Специалисты выявили два вредоносных файла, которые маскируются под полезные программы. Эти файлы могут воровать личные данные, следить за действиями на компьютере и даже брать управление системой под свой контроль.
@CitizenSec
26-12-2024Тысячи рабочих пространств Postman случайно раскрыли важные данные, такие как ключи API и токены доступа. Узнайте, как правильно защитить вашу среду разработки API и обезопасить данные вашей организации.
@CitizenSec
21-11-2024SteelFox был впервые выявлен в августе 2023 года, но его активность заметно возросла. За последние месяцы было зафиксировано более 11 000 попыток заражения.
@CitizenSec
11-11-2024Эта проблема позволяет хакерам получить несанкционированный доступ к важным системным папкам Android.
@CitizenSec
05-11-2024Исследователь из Mozilla предложил новый способ обхода контент-фильтров в больших языковых моделях (LLM), применяемых для предотвращения злоупотреблений.
@CitizenSec
01-11-2024Недавно исследователь в области кибербезопасности Александр Хагена разработал инструмент, который может обойти новую защитную функцию в Google Chrome, называемую привязанным к приложению шифрованием.
@CitizenSec
30-10-2024В npm обнаружены вредоносные пакеты, маскирующиеся под популярный пакет ethers.
@CitizenSec
28-10-2024Опубликована новая атака под названием 'Windows Downdate', которая позволяет взламывать Windows 11, понизив версию системных компонентов и используя старые уязвимости.
@CitizenSec
26-10-2024Интернет-архив (Archive.org) столкнулся со второй утечкой данных в октябре 2024 года, когда хакеры получили доступ к служебным билетам через незащищенные токены API Zendesk.
@CitizenSec
22-10-2024Этот вредоносный софт использует хитрые методы, чтобы обмануть пользователей, показывая поддельный экран разблокировки.
@CitizenSec
20-10-2024