Lỗ hổng được phát hiện trên iOS 13 cho phép hacker xem danh bạ iPhone khi thiết bị đang khóa.
Theo nhà nghiên cứu bảo mật Jose Rodriguez, người đầu tiên phát hiện ra lỗ hổng, cách thức tấn công không quá phức tạp. Bằng cách thực hiện cuộc gọi FaceTime và sau đó kích hoạt tính năng VoiceOver của Siri, kẻ tấn công có thể có quyền truy cập vào danh sách liên lạc của chủ sở hữu điện thoại, bao gồm số điện thoại, địa chỉ email, địa chỉ đường phố... mà không cần mở khóa thiết bị.
Cách thức tấn công lấy danh bạ trên iOS 13.
Điểm yếu của cách thức tấn công này là yêu cầu hacker phải giữ iPhone đủ lâu để hoàn thành toàn bộ quá trình. Nó cũng yêu cầu phải có iPhone thứ hai để bắt đầu cuộc gọi FaceTime với thiết bị mục tiêu.
Rodriguez tìm thấy lỗ hổng từ tháng 7 và gửi lên Apple hôm 17/7 vừa qua. Tuy nhiên, nó vẫn xuất hiện trên phiên bản iOS 13 Gold Master (GM - phiên bản kết thúc thử nghiệm trước khi phát hành chính thức). Năm ngoái, chuyên gia bảo mật này cũng phát hiện cách tấn công tương tự nhằm vào iOS 12.1 nhưng đã được Apple vá sau đó.
The Verge đã thử nghiệm lại và xác nhận rằng, lỗ hổng mà Rodriguez phát hiện vẫn hoạt động trên iOS 13 GM chạy trên iPhone X. Ngoài các thông tin về danh bạ, hình ảnh và các dữ liệu khác vẫn được bảo vệ.
Theo Phonearena, nhiều khả năng Apple sẽ vá lỗ hổng trên iOS 13.1 (dự định phát hành vào 30/9). Trong khi đó, phiên bản chính thức của nền tảng di động này sẽ có mặt cho người dùng vào 19/9 tới, có thể vẫn tồn tại lỗi này.
VoiceOver là tính năng trợ năng đi kèm trợ lý ảo Siri, cho phép đọc văn bản xuất hiện trên màn hình của iPhone. Nó chủ yếu dùng để hỗ trợ người mù hoặc bị suy giảm thị lực.
Bảo Lâm tổng hợp
0 comments:
Post a Comment