iOS 15 vừa ra mắt đã dính lỗ hổng bảo mật cho phép vượt qua màn hình khóa
Apple vừa mới chính thức phát hành iOS 15 và rất nhanh chóng,ừaramắtđãdínhlỗhổngbảomậtchophépvượtquamànhìnhkhóbang xep hang bong da y đã có một lỗ hổng bảo mật.
Nhà nghiên cứu bảo mật Jose Rodriguez đã công bố video lỗ hổng không lâu sau khi Apple phát hành bản iOS mới nhất, trình bày chi tiết cách anh có thể vượt qua màn hình khóa trên iPhone chạy iOS 15 (và iOS 14.8) để truy cập ứng dụng Notes.
Rất may đây không phải một lỗ hổng thao tác từ xa, mà yêu cầu phải trực tiếp thao tác trên thiết bị mới có thể thực hiện được.
Trong video, khi iPhone bị khóa, Rodriguez yêu cầu Siri kích hoạt VoiceOver. Sau đó, anh kéo Control Center xuống và nhấn vào Instant Notes, cho phép người dùng ghi nhanh một ghi chú mà không cần mở khóa iPhone. Sau đó, Rodriguez truy cập lạiControl Center, lần này là mở ứng dụng đồng hồ.
Từ đó, Rodriguez nhấn vào một số vùng trên màn hình khi ứng dụng đồng hồ đo thời gian đang mở, nhưng VoiceOver lại mô tả các hành động của ứng dụng ghi chú. Cuối cùng, anh có thể truy cập vào một ghi chú đã lưu trong ứng dụng Notes và VoiceOver bắt đầu đọc ghi chú đó.
Ghi chú này bình thường không thể truy cập được với iPhone bị khóa.
Từ đây, anh có thể sao chép ghi chú, bao gồm các liên kết và tệp đính kèm, bằng cách sử dụng vòng xoay VoiceOver.
Trong một tình huống, thiết bị mục tiêu được gọi bằng một chiếc iPhone khác. Kẻ tấn công có thể từ chối cuộc gọi và dán văn bản đã sao chép vào phản hồi tin nhắn tùy chỉnh. Ngoài ra, văn bản có thể được dán vào tin nhắn nếu thiết bị thứ hai gửi tin nhắn đến iPhone mục tiêu. Tất cả điều này xảy ra mà không cần mở khóa iPhone.
Tuy nhiên, lỗi này không hoạt động với các ghi chú được bảo vệ bằng mật mã.
Ngoài ra, có nhiều thứ cần phải đảm bảo để có thể tận dụng thành công lỗ hổng bảo mật này. Đầu tiên, kẻ tấn công cần quyền truy cập vật lý vào iPhone của nạn nhân, nghĩa là phải trực tiếp cầm thiết bị. Thiết bị phải được kích hoạt Siri, Control Center được kích hoạt trên màn hình khóa, ứng dụng Notes và Clock có trong Control Center. Số điện thoại của nạn nhân cũng phải được biết.
Rodriguez cho biết anh công khai lỗ hổng thay vì giữ kín và báo cáo nó thông qua chương trình Bug Bounty của Apple vì anh ấy cho rằng ngoài khoản tiền thưởng thấp, Apple có thể mất nhiều tháng để phản hồi và chứng thực các hồ sơ.
Trước đây, Apple đã trao cho Rodriguez 25.000 USD vì đã phát hiện ra CVE-2021-1835, một phương thức bỏ qua màn hình khóa khác cho phép truy cập vào nội dung ứng dụng Notes. Apple đã chỉ định là lỗi "truy cập một phần" dẫn đến việc trích xuất một phần dữ liệu nhạy cảm, giới hạn khoản thanh toán ở mức tối đa 100.000 USD. Lỗ hổng tạo ra quyền truy cập rộng rãi vào dữ liệu được bảo mật khác, mức thưởng có thể lên đến 250.000 USD.
Phương thức do Rodriguez phát hiện ra có thể bị vô hiệu bằng cách tắt Siri hoặc hạn chế quyền truy cập Control Center ở màn hình khóa trong cài đặt Face ID & Passcode.
(Theo Pháp luật & Bạn đọc, AppleInsider)
Những tính năng quan trọng trên iOS 15 cần được bật ngay lập tức
Vừa lên đời iOS 15? Hãy bật ngay những tính năng quan trọng sau đây để bảo vệ dữ liệu cá nhân và tránh bị làm phiền bởi những ứng dụng không cần thiết.
-
Nhận định, soi kèo Fenerbahce vs Lyon, 0h45 ngày 24/1: Tự tin trên sân nhàVương Anh Tú bị nghi đá xéo đàn anh, Vương Anh Tú bị khán giả công kíchMC Anh Tuấn làm Tổng đạo diễn đêm nhạc Michael Learns To RockĐông Nhi trở thành Nghệ sĩ xuất sắc nhất Đông Nam ÁSoi kèo góc Hoffenheim vs Tottenham, 0h45 ngày 24/1Noo Phước Thịnh giành giải nghệ sĩ châu Á xuất sắcNhận định, soi kèo Kitara FC vs Express FC, 20h00 ngày 12/12Nhận định, soi kèo Sukhothai vs Muang Thong United, 18h30 ngày 12/12Siêu máy tính dự đoán Torino vs Cagliari, 2h45 ngày 25/1Noo Phước Thịnh giành giải nghệ sĩ châu Á xuất sắc
下一篇:Nhận định, soi kèo Al Jandal vs Jeddah, 19h50 ngày 23/1: Cửa trên thắng thế
- ·Nhận định, soi kèo Napoli vs Juventus, 0h00 ngày 26/1: Nối mạch bất bại
- ·100 tuổi, mẹ NSND Đặng Thái Sơn vẫn sẽ chơi nhạc
- ·Nhận định, soi kèo Blackburn vs Bristol, 2h45 ngày 13/12
- ·Hà Anh Tuấn bị trầm cảm và đòi bỏ sô
- ·Nhận định, soi kèo Al Shabab vs Al Khaburah, 22h30 ngày 24/1: Bỏ xa đối thủ
- ·Nhận định, soi kèo Ulsan Hyundai FC vs Kawasaki Frontale, 17h00 ngày 12/12
- ·Nhận định, soi kèo Dynamo Douala vs Les Astres FC, 21h00 ngày 11/12
- ·Nhận định, soi kèo Fovu Baham vs Avion Academy, 21h00 ngày 11/12
- ·Nhận định, soi kèo Fenerbahce vs Lyon, 0h45 ngày 24/1: Tự tin trên sân nhà
- ·Nghệ sĩ Út Bạch Lan qua đời hưởng thọ 82 tuổi
- ·Danh ca Thanh Tuyền: 'Tôi may mắn vì có con dâu Ngọc Huyền'
- ·Nhận định, soi kèo Otelul Galati vs Sepsi, 22h00 ngày 12/12
- ·Nhận định, soi kèo Bodo Glimt vs Maccabi Tel Aviv, 0h45 ngày 24/1: Khó có bất ngờ
- ·Nhận định, soi kèo Puszcza vs Widzew lodz, 01h00 ngày 12/12
- ·Nhận định, soi kèo Otelul Galati vs Sepsi, 22h00 ngày 12/12
- ·Nhận định, soi kèo Al Ittihad vs Auckland City, 1h00 ngày 13/12
- ·Nhận định, soi kèo Prostejov vs Trencin, 16h15 ngày 23/1: Điểm tựa sân nhà
- ·Nhận định, soi kèo Mes Shahr
- ·Đông Nhi trở thành Nghệ sĩ xuất sắc nhất Đông Nam Á
- ·Nhận định, soi kèo Ario Eslamshahr vs Kheybar, 17h30 ngày 12/12
- ·Nhận định, soi kèo Bournemouth vs Nottingham, 22h00 ngày 25/1: Đôi công hấp dẫn
- ·Nhận định, soi kèo U19 MU vs U19 Bayern Munich, 21h00 ngày 12/12
- ·Nhận định, soi kèo Chennaiyin FC vs Bengaluru, 21h30 ngày 13/12
- ·2NE1 chính thức tan rã, lời nguyền 7 năm ứng nghiệm
- ·Nhận định, soi kèo Malmo vs Twente, 0h45 ngày 24/1: Chiến thắng danh dự
- ·Nhận định, soi kèo Mes Shahr
- ·Siêu máy tính dự đoán Las Palmas vs Osasuna, 3h00 ngày 25/1
- ·Phú Quang khóc, Ngọc Anh khóc và khán giả khóc
- ·Nhận định, soi kèo FC Istiklol Dushanbe vs FK Eskhata, 15h30 ngày 12/12
- ·Modern Talking tiết lộ thú vị về vợ
- ·Nhận định, soi kèo Al
- ·Cộng đồng EDM xôn xao trước ‘cơn bão’ nhạc Trap cuối năm
- ·2NE1 chính thức tan rã, lời nguyền 7 năm ứng nghiệm
- ·Tóc Tiên ‘làm mưa làm gió’ với ca khúc mới
- ·Nhận định, soi kèo Liverpool vs Ipswich Town, 22h00 ngày 25/1: Củng cố ngôi đầu
- ·Hari Won không có trách nhiệm trong vụ nợ lương