Theo dõi báo trên:
Theo AppleInsider, phát hiện bởi nhà nghiên cứu Jose Rodriguez, lỗ hổng hoạt động trên iOS 15 tiết lộ trong một video được đăng lên kênh YouTube của Rodriguez vào đầu tuần.
Để vượt qua màn hình khóa của iPhone mục tiêu, trước tiên Rodriguez yêu cầu Siri bật VoiceOver và điều hướng đến Notes trong Control Center. Sau đó, một trường ghi chú mới được hiển thị mà không có nội dung người dùng nào được tiết lộ.
Lỗ hổng xảy ra với nhiều iPhone chạy iOS 15. Ảnh: TL
Quay trở lại Control Center, Rodriguez chọn và mở đồng hồ bấm giờ, và sau khi kiểm tra tài chính, có thể chọn ứng dụng Notes đã mở trước đó qua VoiceOver. Tuy nhiên, thay vì ghi chú trống, iOS cấp quyền truy cập vào cơ sở dữ liệu Notes bao gồm nội dung đã lưu, trong trường hợp mẫu bao gồm ghi chú có văn bản, bản ghi âm, liên kết HTML, thẻ liên hệ... VoiceOver sau đó được sử dụng để chọn và sao chép ghi chú trước khi xuất sang iPhone thứ hai.
Rodriguez cho biết việc khai thác không hoạt động với các ghi chú được bảo vệ bằng mật mã. Bên cạnh đó, để khai thác lỗ hổng thì kẻ tấn công cần phải được cấp quyền truy cập vào iPhone của nạn nhân. Thiết bị cũng phải được kích hoạt Siri, Control Center có sẵn trên màn hình khóa, ứng dụng Notes và Clock có trong Control Center. Số điện thoại của nạn nhân cũng phải được biết.
Lỗ hổng cho phép người lạ có thể vượt qua màn hình khóa iPhone để truy cập các ghi chú. Ảnh: TL
Rodriguez cho biết bản thân công bố lỗ hổng này thay vì báo cáo nó thông qua chương trình Bug Bounty của Apple vì ông hy vọng sẽ làm sáng tỏ những khó khăn với cách khai thác lỗ hổng. Ngoài các khoản thanh toán thấp, nhà nghiên cứu cho biết Apple có thể mất nhiều tháng để phản hồi và chứng thực các hồ sơ.
Trước đó, Apple đã trao cho Rodriguez 25.000 USD vì đã phát hiện ra lỗ hổng mã CVE-2021-1835, một phương pháp bỏ qua màn hình khóa khác cho phép truy cập vào nội dung Notes. Apple đã giới hạn khoản thanh toán ở mức tối đa 100.000 USD cho lỗ hổng dạng trích xuất một phần dữ liệu nhạy cảm như vậy. Đối với lỗ hổng cho phép truy cập vào dữ liệu được bảo mật, khoản thanh toán cao nhất mà Apple trao sẽ là 250.000 USD.
Người dùng có thể chống lại phương pháp khai thác của Rodriguez đó là vô hiệu hóa Siri hoặc hạn chế quyền truy cập màn hình khóa vào Control Center trong cài đặt Face ID & Passcode.
Thích
(CLO) OPPO K12 mới đây đã chính thức trình làng tại thị trường Trung Quốc, máy được trang bị con chip Snapdragon 7 Gen 3, màn hình 120Hz, sạc nhanh 100W, giá từ 6,5 triệu đồng.
(CLO) Viện Công nghệ Blockchain và Trí tuệ Nhân tạo ABAII, trực thuộc Hiệp hội Blockchain Việt Nam, đặt mục tiêu đào tạo, phổ cập blockchain và AI cho 1 triệu lượt người đến năm 2030, trong đó bao gồm 100.000 sinh viên tại 30 trường Đại học trên cả nước.
(CLO) Samsung, một trong những nhà sản xuất hàng đầu trong lĩnh vực điện thoại di động, đang chuẩn bị ra mắt một sản phẩm mới - bộ sạc nhanh 50W.
(CLO) Trong khuôn khổ Lễ kỷ niệm 2 năm thành lập và Diễn đàn thường niên “Blockchain và AI: Cuộc cách mạng tương lai”, ngày 24/4, tại Hà Nội, Hiệp hội Blockchain Việt Nam đã tổ chức buổi tọa đàm khoa học lần thứ 4 nhằm góp ý xây dựng hoàn thiện khung pháp lý VA-VASP.
(CLO) Samsung dự kiến sẽ ra mắt mẫu smartphone màn hình gập tiếp theo của họ là Galaxy Z Fold6 trong khoảng 3 tháng tới đây, máy sẽ có ít nhất 5 tùy chọn màu sắc.
