Lỗ hổng bảo mật mức độ nghiêm trọng cao trong ứng dụng phím tắt Zero-Click trên Apple

www.tuoitre.vn -   23/02/2024 08:00:00 249

Thông tin chi tiết đã xuất hiện về một lỗ hổng bảo mật mức độ nghiêm trọng cao hiện đã được vá trong ứng dụng Phím tắt của Apple, có thể cho phép một phím tắt truy cập thông tin nhạy cảm trên thiết bị mà không có sự đồng ý của người dùng.

 Lỗ hổng bảo mật mức độ nghiêm trọng cao trong ứng dụng phím tắt Zero-Click trên Apple

Lỗ hổng có mã CVE-2024-23204 (điểm CVSS: 7,5), được Apple xử lý vào ngày 22 tháng 1 năm 2024, với việc phát hành iOS 17.3, iPadOS 17.3, macOS Sonoma 14.3 và watchOS 10.3.

“Một phím tắt có thể sử dụng dữ liệu nhạy cảm với một số hành động nhất định mà không cần nhắc người dùng”, nhà sản xuất iPhone cho biết trong một lời khuyên, đồng thời cho biết nó đã được sửa bằng “kiểm tra quyền bổ sung”.

Apple Phím tắt là một ứng dụng tập lệnh cho phép người dùng tạo quy trình làm việc được cá nhân hóa (còn gọi là macro) để thực hiện các tác vụ cụ thể trên thiết bị của họ. Nó được cài đặt theo mặc định trên các hệ điều hành iOS, iPadOS, macOS và watchOS.

TCC là một khung bảo mật của Apple được thiết kế để bảo vệ dữ liệu người dùng khỏi bị truy cập trái phép mà không yêu cầu quyền thích hợp ngay từ đầu.

Cụ thể, lỗ hổng này bắt nguồn từ một hành động phím tắt có tên "Mở rộng URL", có khả năng mở rộng và dọn sạch các URL đã được rút ngắn bằng dịch vụ rút ngắn URL như t.co hoặc bit.ly, đồng thời xóa các tham số theo dõi UTM.​

Các nhà bảo mật lý giải rằng bằng cách tận dụng các chức năng này, hacker có thể truyền dữ liệu được mã hoá Base64 của một bức ảnh đến một trang web độc hại.

“Phương pháp này bao gồm việc chọn bất kỳ dữ liệu nhạy cảm nào (Ảnh, Danh bạ, Tệp và dữ liệu clipboard) trong Phím tắt, nhập dữ liệu đó, chuyển đổi dữ liệu đó bằng tùy chọn mã hóa base64 và cuối cùng chuyển tiếp nó đến máy chủ độc hại.”

Dữ liệu đã lọc sau đó được ghi lại và lưu dưới dạng hình ảnh từ phía kẻ tấn công bằng ứng dụng Flask, mở đường cho việc khai thác tiếp theo.

Nhà nghiên cứu cho biết: “Các phím tắt có thể được xuất và chia sẻ giữa những người dùng, một thông lệ trong cộng đồng Phím tắt”. “Cơ chế chia sẻ này mở rộng phạm vi tiếp cận tiềm năng của lỗ hổng vì người dùng vô tình nhập các phím tắt có thể khai thác CVE-2024-23204.”

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Đọc nhanh tài liệu Word với tính năng AI...

30/08/2024 12:00:00 83
Một tính năng mới rất hữu ích dành cho người dùng Word, cho phép xử lý các tài liệu dài dễ dàng hơn ...

Google tung bản vá bảo mật khẩn cấp cho ...

29/08/2024 12:00:00 69
Hãykiểm tra xem trình duyệt của mình đã tự động cập nhật lên phiên bản mới nhất chưa bằng cách mở cà...

Phần mềm độc hại Android mới NGate đánh ...

28/08/2024 08:00:00 71
Các nhà nghiên cứu an ninh mạng đã phát hiện ra phần mềm độc hại Android mới có thể chuyển tiếp dữ l...

Thời đại AI lên ngôi, ảnh chụp không hẳn...

28/08/2024 12:00:00 80
Với sự xuất hiện của AI, bất kỳ ai cũng có thể tạo ảnh giả với độ chân thực không kém chuyên gia pho...

Trung tâm siêu dữ liệu đang được Google ...

27/08/2024 12:00:00 48
Lý do khiến Google có thể lựa chọn xây trung tâm dữ liệu tại Việt Nam đến từ việc hãng kiếm được ngà...

Google cảnh báo về lỗ hổng bảo mật CVE-2...

26/08/2024 08:00:00 33
Google đã tiết lộ rằng một lỗ hổng bảo mật đã được vá như một phần của bản cập nhật phần mềm được tu...
Xem thêm

LIÊN HỆ

Thông tin liên hệ