Tin An Ninh Mạng

Lỗi mới trên iPhone cho phép bất kỳ ai truy cập vào ảnh riêng tư của bạn

Một nhà nghiên cứu an ninh mạng vào cuối tháng trước đã phát hiện lỗ hổng qua mặt passcode trên iOS 12, và giờ tiếp tục công bố thêm lỗ hổng qua mặt iOS 12.0.1 – phiên bản hệ điều hành mới được Apple phát hành tuần trước.

Nhà nghiên cứu Tây Ban Nha Jose Rodriguez vào cuối tháng 9 đã phát hiện ra lỗ hổng trên iOS 12, cho phép kẻ tấn công truy cập vật lý vào iPhone có thể vào danh bạ và ảnh của người dùng.

Vấn đề này sau đó đã được Apple khắc phục trong iOS 12.0.1. Tuy nhiên, chuyên gia tiếp tục phát hiện thêm một lỗ hổng tương tự, qua mặt passcode trên iOS 12.0.1, thậm chí còn dễ khai thác hơn.

Vấn đề mới cho phép bất kỳ ai truy cập vật lý vào thiết bị iPhone đã khóa có thể vào album ảnh của bạn, chọn hình ảnh và gửi tới người bất kỳ sử dụng Apple Messages.

Việc khai thác lỗ hổng đơn giản hơn khá nhiều so với vấn đề mà nhà nghiên cứu đã nêu ra trước đó, có thể khiến người dùng bị lộ lọt các hình ảnh cá nhân riêng tư.

Dưới đây là clip minh họa quá trình qua mặt passcode trên iPhone để truy cập ảnh:

Trong clip, cuộc tấn công xảy ra qua khai thác Siri và bộ đọc màn hình VoiceOver để vượt qua hàng rào passcode.

Quá trình qua mặt passcode gồm khoảng 10 bước như sau:

  • Dùng điện thoại bất kỳ gọi tới iPhone mục tiêu (nếu không biết số điện thoại mục tiêu, có thể hỏi Siri “tôi là ai” hoặc yêu cầu Siri gọi điện đến số điện thoại của bạn).
  • Không chọn trả lời cuộc gọi bằng phím nghe, thay vào đó nhấn “Messages” (mặc định trên iOS khi có cuộc gọi tới) và bấm vào “Custom” để trả lời qua tin nhắn văn bản.
  • Nhập nội dung bất kỳ vào phần tin nhắn văn bản.
  • Yêu cầu Siri bật VoiceOver – một dịch vụ dành cho người dùng khiếm thị.
  • Chạm vào biểu tượng máy ảnh.
  • Gọi Siri với nút Home của iPhone và đồng thời nhấn đúp vào màn hình điện thoại (lặp lại nhiều lần nếu không được).
  • Khi màn hình chuyển sang màu đen, hãy trượt ngón tay trên màn hình lên góc trên cùng bên trái, nơi VoiceOver sẽ đọc to những gì bạn đã chọn. Tiếp tục vuốt cho đến khi VoiceOver đọc “Thư viện ảnh” (Photo Library).
  • Nhấn đúp vào màn hình để chọn Thư viện ảnh. Thao tác này sẽ đưa bạn trở lại màn hình tin nhắn, nhưng bạn sẽ thấy một khoảng trống ở vị trí của bàn phím. Đó thực ra là một Thư viện ảnh “tàng hình”.
  • Vuốt lên để VoiceOver đọc to các đặc điểm của từng ảnh.
  • Nhấn đúp vào ảnh sẽ hiển thị và thêm ảnh vào box văn bản, sau đó có thể gửi tới bất kỳ số điện thoại nào.

Phương thức qua mặt passcode mới ảnh hưởng tới tất cả các mẫu iPhone hiện tại, kể cả iPhone X và XS, chạy phiên bản hệ điều hành mới nhất, tức là iOS 12 đến 12.0.1.

Trong khi chờ Apple đưa ra bản vá an ninh, người dùng có thể tạm thời khắc phục sự cố bằng cách tắt Siri khỏi màn hình khóa. Cách tắt như sau:

Cài đặt => Face ID & Passcode => Disable Siri trong mục “Allow access when locked” (Cho phép truy cập khi khóa máy).

Tất nhiên, việc vô hiệu hóa Siri sẽ ảnh hưởng tới trải nghiệm iOS 12 của bạn, nhưng sẽ giúp ngăn chặn hacker lạm dụng tính năng này để đột nhập vào iPhone. Trong khi đó, hãy chờ Apple phát hành bản cập nhật phần mềm khắc phục lỗ hổng.

Theo The Hacker News

Đăng ký liền tay Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !

Add Comment

Click here to post a comment

Đăng ký liền tay
Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !