Lỗ hổng bảo mật mức độ nghiêm trọng cao trong ứng dụng phím tắt Zero-Click trên Apple

www.tuoitre.vn -   23/02/2024 08:00:00 124

Thông tin chi tiết đã xuất hiện về một lỗ hổng bảo mật mức độ nghiêm trọng cao hiện đã được vá trong ứng dụng Phím tắt của Apple, có thể cho phép một phím tắt truy cập thông tin nhạy cảm trên thiết bị mà không có sự đồng ý của người dùng.

 Lỗ hổng bảo mật mức độ nghiêm trọng cao trong ứng dụng phím tắt Zero-Click trên Apple

Lỗ hổng có mã CVE-2024-23204 (điểm CVSS: 7,5), được Apple xử lý vào ngày 22 tháng 1 năm 2024, với việc phát hành iOS 17.3, iPadOS 17.3, macOS Sonoma 14.3 và watchOS 10.3.

“Một phím tắt có thể sử dụng dữ liệu nhạy cảm với một số hành động nhất định mà không cần nhắc người dùng”, nhà sản xuất iPhone cho biết trong một lời khuyên, đồng thời cho biết nó đã được sửa bằng “kiểm tra quyền bổ sung”.

Apple Phím tắt là một ứng dụng tập lệnh cho phép người dùng tạo quy trình làm việc được cá nhân hóa (còn gọi là macro) để thực hiện các tác vụ cụ thể trên thiết bị của họ. Nó được cài đặt theo mặc định trên các hệ điều hành iOS, iPadOS, macOS và watchOS.

TCC là một khung bảo mật của Apple được thiết kế để bảo vệ dữ liệu người dùng khỏi bị truy cập trái phép mà không yêu cầu quyền thích hợp ngay từ đầu.

Cụ thể, lỗ hổng này bắt nguồn từ một hành động phím tắt có tên "Mở rộng URL", có khả năng mở rộng và dọn sạch các URL đã được rút ngắn bằng dịch vụ rút ngắn URL như t.co hoặc bit.ly, đồng thời xóa các tham số theo dõi UTM.​

Các nhà bảo mật lý giải rằng bằng cách tận dụng các chức năng này, hacker có thể truyền dữ liệu được mã hoá Base64 của một bức ảnh đến một trang web độc hại.

“Phương pháp này bao gồm việc chọn bất kỳ dữ liệu nhạy cảm nào (Ảnh, Danh bạ, Tệp và dữ liệu clipboard) trong Phím tắt, nhập dữ liệu đó, chuyển đổi dữ liệu đó bằng tùy chọn mã hóa base64 và cuối cùng chuyển tiếp nó đến máy chủ độc hại.”

Dữ liệu đã lọc sau đó được ghi lại và lưu dưới dạng hình ảnh từ phía kẻ tấn công bằng ứng dụng Flask, mở đường cho việc khai thác tiếp theo.

Nhà nghiên cứu cho biết: “Các phím tắt có thể được xuất và chia sẻ giữa những người dùng, một thông lệ trong cộng đồng Phím tắt”. “Cơ chế chia sẻ này mở rộng phạm vi tiếp cận tiềm năng của lỗ hổng vì người dùng vô tình nhập các phím tắt có thể khai thác CVE-2024-23204.”

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Nguy cơ mất tiền từ Phishing - giả mạo đ...

22/04/2024 08:00:00 15
Giả mạo để lừa đảo (Phishing) là một chiêu thức không mới nhưng hiệu quả trong việc thu hút nạn nhân...

Tài khoản Microsoft 365 và Gmail đối mặt...

02/04/2024 12:00:00 491
Mặc dù xác thực hai yếu tố (2FA) được xem là phương pháp bảo mật an toàn nhưng bộ công cụ lừa đảo mớ...

Nếu vẫn dùng Windows 10 và muốn cập nhật...

01/04/2024 12:00:00 91
Không phải người dùng nào cũng muốn hoặc có đủ điều kiện để nâng cấp lên Windows 11 hay mua PC mới, ...

Năm công nghệ của Kaspersky để bảo vệ tà...

29/03/2024 08:00:00 478
Tài chính kỹ thuật số của chúng ta dễ bị tấn công bởi tội phạm kỹ thuật số. Hãy cùng xem xét cách cá...

Những ứng dụng Android độc hại núp bóng ...

29/03/2024 12:00:00 478
Nhiều ứng dụng trong số này tuyên bố cung cấp dịch vụ VPN (mạng riêng ảo) miễn phí nên đã có hàng tr...

Giải pháp bảo mật của Kaspersky giành đư...

28/03/2024 08:00:00 57
Vào năm 2023, các sản phẩm và giải pháp của Kaspersky đã tham gia chính xác 100 nghiên cứu độc lập —...
Xem thêm

LIÊN HỆ

Thông tin liên hệ