Lỗ hổng Zero-Click của Apple cho phép đánh cắp dữ liệu trong im lặng

Một lỗ hổng nguy hiểm trong Apple Shorts đã xuất hiện, có thể cho phép kẻ tấn công truy cập vào dữ liệu nhạy cảm trên thiết bị mà không cần người dùng yêu cầu cấp quyền.

Ứng dụng Phím tắt của Apple, được thiết kế cho macOS và iOS, nhằm mục đích tự động hóa các tác vụ. Đối với các doanh nghiệp, nó cho phép người dùng tạo macro để thực hiện các tác vụ cụ thể trên thiết bị của họ, sau đó kết hợp chúng thành quy trình làm việc cho mọi thứ, từ tự động hóa Web đến các chức năng của nhà máy thông minh. Sau đó, những nội dung này có thể được chia sẻ trực tuyến thông qua iCloud và các nền tảng khác với đồng nghiệp và đối tác.

Theo một phân tích từ Bitdefender Hôm nay, lỗ hổng (CVE-2024-23204) có thể tạo ra một tệp Phím tắt độc hại có thể vượt qua khung bảo mật Minh bạch, Đồng ý và Kiểm soát (TCC) của Apple, được cho là để đảm bảo rằng các ứng dụng yêu cầu quyền một cách rõ ràng từ người dùng trước khi truy cập dữ liệu hoặc chức năng nhất định.

Điều đó có nghĩa là khi ai đó thêm một lối tắt độc hại vào thư viện của họ, nó có thể âm thầm lấy cắp thông tin hệ thống và dữ liệu nhạy cảm mà không cần phải yêu cầu người dùng cấp quyền truy cập. Trong quá trình khai thác bằng chứng khái niệm (PoC), các nhà nghiên cứu của Bitdefender sau đó có thể trích xuất dữ liệu trong một tệp hình ảnh được mã hóa.

Báo cáo lưu ý: “Với việc Phím tắt là một tính năng được sử dụng rộng rãi để quản lý tác vụ hiệu quả, lỗ hổng này làm tăng mối lo ngại về việc vô tình phổ biến các phím tắt độc hại thông qua các nền tảng chia sẻ khác nhau”.

Lỗi này là mối đe dọa đối với các thiết bị macOS và iOS chạy phiên bản trước macOS Sonoma 14.3, iOS 17.3 và iPadOS 17.3. Lỗi này được đánh giá 7.5/10 (cao) trên Hệ thống chấm điểm lỗ hổng bảo mật thông thường (CVSS) vì nó có thể khai thác từ xa mà không có đặc quyền cần thiết.

Apple đã vá lỗi này và “chúng tôi kêu gọi người dùng đảm bảo rằng họ đang chạy phiên bản mới nhất của phần mềm Apple Shorts”, Bogdan Botezatu, giám đốc nghiên cứu và báo cáo mối đe dọa tại Bitdefender cho biết.

Lỗ hổng bảo mật của Apple: Phổ biến hơn bao giờ hết

Vào tháng Mười, Accenture đã xuất bản một báo cáo tiết lộ số lượng các tác nhân đe dọa Web đen nhắm vào macOS đã tăng gấp 2019 lần kể từ năm XNUMX - với xu hướng sẽ tiếp tục.

Những phát hiện này trùng hợp với sự xuất hiện của những kẻ đánh cắp thông tin macOS tinh vi được tạo ra để vượt qua khả năng phát hiện tích hợp của Apple. Và các nhà nghiên cứu của Kaspersky Mới phát hiện ra Phần mềm độc hại macOS nhắm mục tiêu vào ví tiền điện tử Bitcoin và Exodus, với phần mềm độc hại thay thế các ứng dụng chính hãng bằng các phiên bản bị xâm nhập.

Các lỗi cũng tiếp tục được phát hiện, giúp việc truy cập ban đầu trở nên dễ dàng hơn. Ví dụ: đầu năm nay, Apple đã sửa lỗ hổng zero-day (CVE-2024-23222) trong Công cụ WebKit của trình duyệt Safari, do lỗi nhầm lẫn loại, trong đó các giả định xác thực đầu vào có thể dẫn đến việc khai thác.

Để tránh những kết quả tồi tệ của Apple nói chung, báo cáo đặc biệt khuyên người dùng nên cập nhật các thiết bị macOS, iPadOS và watchOS lên phiên bản mới nhất, thận trọng khi thực hiện các phím tắt từ các nguồn không đáng tin cậy và thường xuyên kiểm tra các bản cập nhật và bản vá bảo mật từ Apple.

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
• nguồn: https://www.darkreading.com/application-security/zero-click-apple-shortcuts-vulnerability-allows-silent-data-theft