Theo dõi báo trên:
Theo AppleInsider, phát hiện bởi nhà nghiên cứu Jose Rodriguez, lỗ hổng hoạt động trên iOS 15 tiết lộ trong một video được đăng lên kênh YouTube của Rodriguez vào đầu tuần.
Để vượt qua màn hình khóa của iPhone mục tiêu, trước tiên Rodriguez yêu cầu Siri bật VoiceOver và điều hướng đến Notes trong Control Center. Sau đó, một trường ghi chú mới được hiển thị mà không có nội dung người dùng nào được tiết lộ.
Lỗ hổng xảy ra với nhiều iPhone chạy iOS 15. Ảnh: TL
Quay trở lại Control Center, Rodriguez chọn và mở đồng hồ bấm giờ, và sau khi kiểm tra tài chính, có thể chọn ứng dụng Notes đã mở trước đó qua VoiceOver. Tuy nhiên, thay vì ghi chú trống, iOS cấp quyền truy cập vào cơ sở dữ liệu Notes bao gồm nội dung đã lưu, trong trường hợp mẫu bao gồm ghi chú có văn bản, bản ghi âm, liên kết HTML, thẻ liên hệ... VoiceOver sau đó được sử dụng để chọn và sao chép ghi chú trước khi xuất sang iPhone thứ hai.
Rodriguez cho biết việc khai thác không hoạt động với các ghi chú được bảo vệ bằng mật mã. Bên cạnh đó, để khai thác lỗ hổng thì kẻ tấn công cần phải được cấp quyền truy cập vào iPhone của nạn nhân. Thiết bị cũng phải được kích hoạt Siri, Control Center có sẵn trên màn hình khóa, ứng dụng Notes và Clock có trong Control Center. Số điện thoại của nạn nhân cũng phải được biết.
Lỗ hổng cho phép người lạ có thể vượt qua màn hình khóa iPhone để truy cập các ghi chú. Ảnh: TL
Rodriguez cho biết bản thân công bố lỗ hổng này thay vì báo cáo nó thông qua chương trình Bug Bounty của Apple vì ông hy vọng sẽ làm sáng tỏ những khó khăn với cách khai thác lỗ hổng. Ngoài các khoản thanh toán thấp, nhà nghiên cứu cho biết Apple có thể mất nhiều tháng để phản hồi và chứng thực các hồ sơ.
Trước đó, Apple đã trao cho Rodriguez 25.000 USD vì đã phát hiện ra lỗ hổng mã CVE-2021-1835, một phương pháp bỏ qua màn hình khóa khác cho phép truy cập vào nội dung Notes. Apple đã giới hạn khoản thanh toán ở mức tối đa 100.000 USD cho lỗ hổng dạng trích xuất một phần dữ liệu nhạy cảm như vậy. Đối với lỗ hổng cho phép truy cập vào dữ liệu được bảo mật, khoản thanh toán cao nhất mà Apple trao sẽ là 250.000 USD.
Người dùng có thể chống lại phương pháp khai thác của Rodriguez đó là vô hiệu hóa Siri hoặc hạn chế quyền truy cập màn hình khóa vào Control Center trong cài đặt Face ID & Passcode.
Thích
(CLO) Mới đây tại Trung Quốc đã chính thức trình làng chiếc điện thoại ZTE Axon 60 Ultra. Thiết bị có khả năng kết nối vệ tinh cho phép thực hiện cuộc gọi cũng như gửi tin nhắn thông qua hệ thống vệ tinh Tiantong của Trung Quốc.
(CLO) Theo thông tin rỏ rỉ từ Weibo, Sony sẽ chính thức ra mắt phiên bản kế nhiệm của Xperia 1 V tại Nhật Bản vào ngày ngày 11 tháng 5 tới đây, máy có tên gọi là Sony Xperia 1 VI.
(CLO) Lenovo mới đây vừa ra mắt máy tính xách tay Xiaoxin Pro 16 2024. Máy sở hữu CPU Core Ultra 5-125H và card đồ họa RTX 4050 6GB GDDR6, giá 28 triệu đồng.
(CLO) Vivo vừa ra mắt một chiếc smartphone tầm trung mới, có tên gọi là vivo T3x. Máy trang bị chip Snapdragon 6 Gen 1, pin 6000 mAh và camera kép 50MP, giá từ 4,1 triệu đồng.
(CLO) Với khoảng 2.400 racks, Trung tâm dữ liệu Viettel Hoà Lạc chỉ hơn trung tâm dữ liệu lớn thứ hai khoảng 400 racks, tuy nhiên có công suất gấp 2,5 lần.
