Tiết lộ chi tiết lỗ hổng Zero-Click Shortcut mới được phát hiện gần đây của Apple

0
0

 - Lỗ hổng hiện đã được vá với định danh CVE-2024-23204 (điểm CVSS: 7,5), có thể cho phép một Shortcut truy cập thông tin nhạy cảm trên thiết bị mà không có sự đồng ý của người dùng.

Apple đã giải quyết nó vào ngày 22 tháng 1 năm 2024, với việc phát hành iOS 17.3, iPadOS 17.3, macOS Sonoma 14.3, và watchOS 10.3.

Apple Shortcut là một ứng dụng cho phép người dùng tạo quy trình làm việc riêng (còn gọi là macro) để thực hiện các tác vụ cụ thể trên thiết bị của họ. Nó được cài đặt theo mặc định trên các hệ điều hành iOS, iPadOS, macOS và watchOS.

Nhà nghiên cứu Jubaer Alnazi Jabin của Bitdefender, người đã phát hiện và báo cáo lỗ hổng, cho biết lỗi này có thể bị khai thác để tạo một Shortcut độc hại nhằm vượt qua các chính sách bảo mật Minh bạch, Đồng thuận và Kiểm soát (TCC).

 

TCC là một framework bảo mật của Apple được thiết kế để bảo vệ dữ liệu người dùng khỏi bị truy cập trái phép mà không yêu cầu quyền thích hợp ngay từ đầu.

Cụ thể, lỗ hổng này bắt nguồn từ một tính năng shortcut được gọi là "Expand URL", có khả năng mở rộng các URL đã được rút ngắn bằng các dịch vụ rút ngắn URL như t.co hoặc bit.ly, đồng thời xóa các tham số theo dõi UTM.

Alnazi Jabin cho biết rằng chức năng này có thể bị lạm dụng để truyền dữ liệu đã được mã hóa Base64 đến một trang web độc hại.

“Phương pháp này liên quan đến việc chọn bất kỳ dữ liệu nhạy cảm nào (Ảnh, Danh bạ, Tệp và dữ liệu clipboard) trong các shortcut, import dữ liệu đó, chuyển đổi nó bằng tùy chọn mã hóa base64 và cuối cùng chuyển tiếp nó đến máy chủ độc hại.”

Nhà nghiên cứu cho biết: “Các shortcut có thể được trích xuất và chia sẻ giữa những người dùng”. “Cơ chế chia sẻ này làm tăng phạm vi tiếp cận tiềm năng của lỗ hổng khi người dùng vô tình thêm vào (import) các shortcut độc hại có thể kích hoạt CVE-2024-23204”.

PV


Ý kiến bạn đọc


Chào tháng 4: Điểm mặt loạt khuyến mại siêu hấp dẫn từ VNPT Money

(VnMedia) - Chào tháng 4, VNPT Money đã tung ra hàng loạt khuyến mại hấp dẫn dành cho các khách hàng. Trong đó có thể kể đến, ưu đãi thanh toán học phí; ưu đãi thanh toán hóa đơn VNPT; Tích điểm - Đổi quà…

Các chuyên gia và nhà đầu tư kỳ vọng giá vàng sẽ tiếp tục lập kỷ lục mới

(VnMedia) - Các chuyên gia vẫn cho rằng, đà tăng của vàng mới chỉ bắt đầu. Bất chấp việc lạm phát cao có thể buộc Cục Dự trữ Liên bang Mỹ (Fed) phải duy trì chính sách tiền tệ tích cực lâu hơn dự kiến...

Thủ đoạn mới của tội phạm: Lừa đảo mua, bán hàng có giá trị lớn trên mạng xã hội

(VnMedia) - Theo cơ quan công an, đây là thủ đoạn mới của tội phạm nên người dân cần cẩn trọng khi mua, bán những hàng hóa có giá trị qua mạng xã hội, đề phòng kẻ xấu lợi dụng để lừa đảo, chiếm đoạt tài sản.

Sao Khuê 2024: Thúc đẩy nghiên cứu, phát triển và ứng dụng mạnh mẽ AI!

(VnMedia) - Giải thưởng Sao Khuê 2024 có 08 nền tảng, giải pháp AI chuyên biệt, nhưng theo thống kê, có đến hơn 90% các sản phẩm, dịch vụ đã được tích hợp các ứng dụng AI để hỗ trợ các doanh nghiệp, tổ chức, người dân...

Vạch trần thủ đoạn lừa đảo thông qua dụ dỗ, kêu gọi đầu tư tài chính

(VnMedia) - Thủ đoạn chung là các đối tượng lừa đảo thường tìm hiểu và tiếp cận mục tiêu thông qua các kênh mạng xã hội, trang web hẹn hò hoặc diễn đàn...