Công bố chi tiết lỗ hổng Zero-Click Shortcut mới được phát hiện gần đây của Apple

09:00 | 08/03/2024 | LỖ HỔNG ATTT

Thông tin chi tiết về một lỗ hổng có độ nghiêm trọng mức cao trong ứng dụng Shortcut của Apple đã được công bố, trong đó lỗ hổng có thể cho phép một Shortcut truy cập thông tin nhạy cảm trên thiết bị mà không có sự đồng ý của người dùng.

Công bố chi tiết lỗ hổng Zero-Click Shortcut mới được phát hiện gần đây của Apple

Lỗ hổng có định danh CVE-2024-23204 (điểm CVSS: 7,5), có thể cho phép một Shortcut truy cập thông tin nhạy cảm trên thiết bị mà không có sự đồng ý của người dùng. Apple đã giải quyết nó vào ngày 22/1/2024, với việc phát hành iOS 17.3, iPadOS 17.3, macOS Sonoma 14.3, và watchOS 10.3.

“Một Shortcut có thể sử dụng dữ liệu nhạy cảm mà không cần nhắc người dùng”, nhà sản xuất iPhone cho biết đồng thời thông tin nó đã được sửa bằng “kiểm tra quyền bổ sung”.

Apple Shortcut là một ứng dụng cho phép người dùng tạo quy trình làm việc riêng (còn gọi là macro) để thực hiện các tác vụ cụ thể trên thiết bị của họ. Nó được cài đặt theo mặc định trên các hệ điều hành iOS, iPadOS, macOS và watchOS.

Nhà nghiên cứu Jubaer Alnazi Jabin của Bitdefender, người đã phát hiện và báo cáo lỗ hổng, cho biết lỗi này có thể bị khai thác để tạo một Shortcut độc hại nhằm vượt qua các chính sách bảo mật Minh bạch, Đồng thuận và Kiểm soát (TCC).

TCC là một framework bảo mật của Apple được thiết kế để bảo vệ dữ liệu người dùng khỏi bị truy cập trái phép mà không yêu cầu quyền thích hợp ngay từ đầu.

Cụ thể, lỗ hổng này bắt nguồn từ một tính năng shortcut được gọi là "Expand URL", có khả năng mở rộng các URL đã được rút ngắn bằng các dịch vụ rút ngắn URL như t.co hoặc bit.ly, đồng thời xóa các tham số theo dõi UTM.

Alnazi Jabin cho biết rằng chức năng này có thể bị lạm dụng để truyền dữ liệu đã được mã hóa Base64 đến một trang web độc hại.

“Phương pháp này liên quan đến việc chọn bất kỳ dữ liệu nhạy cảm nào (Ảnh, Danh bạ, Tệp và dữ liệu clipboard) trong các shortcut, import dữ liệu đó, chuyển đổi nó bằng tùy chọn mã hóa base64 và cuối cùng chuyển tiếp nó đến máy chủ độc hại”.

Nhà nghiên cứu cho biết: “Các shortcut có thể được trích xuất và chia sẻ giữa những người dùng. Cơ chế chia sẻ này làm tăng phạm vi tiếp cận tiềm năng của lỗ hổng khi người dùng vô tình thêm vào (import) các shortcut độc hại có thể kích hoạt CVE-2024-23204”.

Hà Phương

(Theo Thehackernews)

‹ › ×

Tin liên quan

Microsoft phát hành bản vá 73 lỗ hổng, trong đó có 2 lỗ hổng zero-day

13:00 | 26/02/2024

Mới đây, Microsoft đã phát hành bản vá bảo mật hằng tháng (Patch Tuesday) của tháng 2/2024 để giải quyết 73 lỗ hổng, trong đó có 2 lỗ hổng zero-day đã bị khai thác tích cực trong thực tế.

Cập nhật bản vá lỗ hổng bảo mật tháng 1

15:00 | 31/01/2024

Trong tháng 01, Microsoft, Oracle và VMWare đều phát hành bản vá cho các sản phẩm của mình. Người dùng cần khẩn trương cài đặt bản vá để phòng tránh rủi ro mất an toàn thông tin.

Lỗ hổng trong thư viện Aiohttp bị tin tặc khai thác để tấn công mạng

10:00 | 28/03/2024

Các nhà nghiên cứu phát hiện nhóm ransomware ShadowSyndicate đang quét các máy chủ tồn tại lỗ hổng directory traversal định danh CVE-2024-23334, hay còn gọi là lỗ hổng path traversal trong thư viện Aiohttp của Python.

Lỗ hổng nghiêm trọng trong Jenkins dẫn đến thực thi mã từ xa

09:00 | 01/02/2024

Một lỗ hổng nghiêm trọng trong giao diện dòng lệnh (CLI) của Jenkins cho phép kẻ tấn công lấy được các khóa mật mã có thể được sử dụng để thực thi mã tùy ý từ xa.

Tin cùng chuyên mục

Phân tích phần mềm độc hại DinodasRAT trên Linux

19:00 | 30/04/2024

DinodasRAT hay còn được gọi là XDealer là một backdoor đa nền tảng được phát triển bằng ngôn ngữ C++ cung cấp nhiều tính năng độc hại. DinodasRAT cho phép kẻ tấn công theo dõi và thu thập dữ liệu nhạy cảm từ máy tính của mục tiêu. Một phiên bản cho hệ điều hành Windows của phần mềm độc hại này đã được sử dụng trong các cuộc tấn công nhắm mục tiêu vào các thực thể của Chính phủ Guyana và được các nhà nghiên cứu tới từ công ty bảo mật ESET (Slovakia) báo cáo với tên gọi là chiến dịch Jacana. Bài viết sẽ phân tích cơ chế hoạt động của phần mềm độc hại DinodasRAT dựa trên báo cáo của hãng bảo mật Kaspersky.

Chiến dịch phần mềm Sign1 đã xâm phạm hơn 39.000 trang web WordPress

09:00 | 02/04/2024

Một chiến dịch phần mềm độc hại trên quy mô lớn có tên Sign1 đã xâm phạm hơn 39.000 trang web WordPress trong 6 tháng qua, sử dụng cách thức chèn mã JavaScript độc hại để chuyển hướng người dùng đến các trang web lừa đảo.

Phân tích chiến dịch gián điệp mạng Sea Turtle của tin tặc Thổ Nhĩ Kỳ

13:00 | 23/01/2024

Các nhà cung cấp dịch vụ viễn thông, truyền thông, Internet (ISP), nhà cung cấp dịch vụ công nghệ thông tin và các trang web của người Kurd ở Hà Lan đã trở thành mục tiêu của một chiến dịch gián điệp mạng mới do nhóm tin tặc có tên gọi là Sea Turtle thực hiện. Nhóm này hoạt động với động cơ chính trị nhằm thu thập thông tin tình báo phù hợp với những lợi ích của Thổ Nhĩ Kỳ. Bài viết này sẽ cùng phân tích về các hoạt động của nhóm tin tặc này và các kỹ thuật trong chiến dịch mới nhất, dựa trên báo cáo điều tra của công ty an ninh mạng Hunt&Hackett (Hà Lan).

Các tài khoản chính phủ và doanh nghiệp trên X bị tin tặc chiếm đoạt nhằm mục tiêu lừa đảo tiền điện tử

07:00 | 17/01/2024

Tin tặc đang tăng cường nhắm mục tiêu vào các tài khoản trên mạng xã hội X (trước đây là Twitter) của chính phủ và doanh nghiệp. Đáng lưu ý, các tài khoản này đều được xác minh và gắn huy hiệu 'vàng' và 'xám', tin tặc lợi dụng nó để phát tán các trò lừa đảo tiền điện tử, trang web lừa đảo.