Tiết lộ chi tiết lỗ hổng Zero-Click Shortcut mới được phát hiện gần đây của Apple

0
0

 - Lỗ hổng hiện đã được vá với định danh CVE-2024-23204 (điểm CVSS: 7,5), có thể cho phép một Shortcut truy cập thông tin nhạy cảm trên thiết bị mà không có sự đồng ý của người dùng.

Apple đã giải quyết nó vào ngày 22 tháng 1 năm 2024, với việc phát hành iOS 17.3, iPadOS 17.3, macOS Sonoma 14.3, và watchOS 10.3.

Apple Shortcut là một ứng dụng cho phép người dùng tạo quy trình làm việc riêng (còn gọi là macro) để thực hiện các tác vụ cụ thể trên thiết bị của họ. Nó được cài đặt theo mặc định trên các hệ điều hành iOS, iPadOS, macOS và watchOS.

Nhà nghiên cứu Jubaer Alnazi Jabin của Bitdefender, người đã phát hiện và báo cáo lỗ hổng, cho biết lỗi này có thể bị khai thác để tạo một Shortcut độc hại nhằm vượt qua các chính sách bảo mật Minh bạch, Đồng thuận và Kiểm soát (TCC).

 

TCC là một framework bảo mật của Apple được thiết kế để bảo vệ dữ liệu người dùng khỏi bị truy cập trái phép mà không yêu cầu quyền thích hợp ngay từ đầu.

Cụ thể, lỗ hổng này bắt nguồn từ một tính năng shortcut được gọi là "Expand URL", có khả năng mở rộng các URL đã được rút ngắn bằng các dịch vụ rút ngắn URL như t.co hoặc bit.ly, đồng thời xóa các tham số theo dõi UTM.

Alnazi Jabin cho biết rằng chức năng này có thể bị lạm dụng để truyền dữ liệu đã được mã hóa Base64 đến một trang web độc hại.

“Phương pháp này liên quan đến việc chọn bất kỳ dữ liệu nhạy cảm nào (Ảnh, Danh bạ, Tệp và dữ liệu clipboard) trong các shortcut, import dữ liệu đó, chuyển đổi nó bằng tùy chọn mã hóa base64 và cuối cùng chuyển tiếp nó đến máy chủ độc hại.”

Nhà nghiên cứu cho biết: “Các shortcut có thể được trích xuất và chia sẻ giữa những người dùng”. “Cơ chế chia sẻ này làm tăng phạm vi tiếp cận tiềm năng của lỗ hổng khi người dùng vô tình thêm vào (import) các shortcut độc hại có thể kích hoạt CVE-2024-23204”.

PV


Ý kiến bạn đọc


U23 Việt Nam khởi đầu thuận lợi tại giải châu Á 2024

(VnMedia) - Cú đúp của Vĩ Hào và pha lập công của Văn Tùng đã giúp U23 Việt Nam đánh bại U23 Kuwait với tỷ số 3-1 ở trận ra quân tại bảng D, giải U23 châu Á 2024.

Giá vàng bất ngờ giảm sâu sau nhiều phiên tăng cao

(VnMedia) - Chốt phiên giao dịch rạng sáng nay (18/4) tại thị trường New York, giá vàng giao ngay đã bất ngờ giảm sâu tới hơn 16 USD/ounce. Trong khi đó, giá vàng nhẫn tròn trơn cũng rơi xuống dưới mức 77 triệu đồng/lượng.

Người dân cần làm gì để tránh "sập bẫy" lừa cài đặt ứng dụng VNeID?

(VnMedia) - Để chủ động phòng ngừa và tránh bị mắc bẫy lừa đảo, cơ quan Công an khuyến cáo người dân chỉ cài đặt ứng dụng VNeID từ nguồn chính thống, tuyệt đối không cài đặt ứng dụng VNeID từ nguồn ngoài, các đường link lạ...

Trực tiếp trên MyTV: Tuyển Việt Nam ra quân tại giải U23 châu Á 2024

(VnMedia) - Chạm trán đối thủ vừa tầm là U23 Kuwait, thầy trò HLV Hoàng Anh Tuấn đặt mục tiêu giành chiến thắng, qua đó “mở hàng” thuận lợi ở giải U23 châu Á 2024 và hướng tới cạnh tranh tấm vé dự Olympic Paris 2024. Người hâm mộ theo dõi toàn bộ giải U23 châu Á trên truyền hình MyTV.

Người dùng iPhone được cảnh báo tắt tính năng iMessage tạm thời để tránh bị hack

(VnMedia) - Ví tiền điện tử Trust Wallet thuộc sở hữu của sàn giao dịch tiền điện tử Binance đã cảnh báo người dùng iOS về lỗ hổng bảo mật trên tính năng nhắn tin iMessage mà tin tặc có thể sử dụng để xâm nhập bất hợp pháp (hack) iPhone của họ mà không cần bất kỳ tương tác nào với họ.