Thông tin chi tiết đã xuất hiện về một lỗ hổng bảo mật nghiêm trọng cao hiện đã được vá trong ứng dụng Shortcuts của Apple có thể cho phép phím tắt truy cập thông tin nhạy cảm trên thiết bị mà không cần sự đồng ý của người dùng.
Lỗ hổng, được theo dõi là CVE-2024-23204 (điểm CVSS: 7.5), đã được Apple giải quyết vào ngày 22 tháng 1 năm 2024, với việc phát hành iOS 17.3, iPadOS 17.3, macOS Sonoma 14.3 và watchOS 10.3.
"Một phím tắt có thể sử dụng dữ liệu nhạy cảm với một số hành động nhất định mà không cần nhắc nhở người dùng", nhà sản xuất iPhone cho biết trong một lời khuyên, nói rằng nó đã được sửa bằng "kiểm tra quyền bổ sung".
Apple Shortcuts là một ứng dụng kịch bản cho phép người dùng tạo quy trình làm việc được cá nhân hóa (hay còn gọi là macro) để thực hiện các tác vụ cụ thể trên thiết bị của họ. Nó được cài đặt theo mặc định trên các hệ điều hành iOS, iPadOS, macOS và watchOS.
Nhà nghiên cứu bảo mật Bitdefender, Jubaer Alnazi Jabin, người đã phát hiện và báo cáo lỗi Shortcuts, cho biết nó có thể được vũ khí hóa để tạo ra một lối tắt độc hại để có thể vượt qua các chính sách Minh bạch, Đồng ý và Kiểm soát (TCC).
TCC là một khung bảo mật của Apple được thiết kế để bảo vệ dữ liệu người dùng khỏi bị truy cập trái phép mà không yêu cầu quyền thích hợp ngay từ đầu.
Cụ thể, lỗ hổng bắt nguồn từ một hành động phím tắt có tên là "Mở rộng URL", có khả năng mở rộng và dọn dẹp các URL đã được rút ngắn bằng dịch vụ rút ngắn URL như t.co hoặc bit.ly, đồng thời loại bỏ các tham số theo dõi UTM.
"Bằng cách tận dụng chức năng này, có thể truyền dữ liệu được mã hóa Base64 của một bức ảnh đến một trang web độc hại", Alnazi Jabin giải thích.
"Phương pháp này liên quan đến việc chọn bất kỳ dữ liệu nhạy cảm nào (Ảnh, Danh bạ, Tệp và dữ liệu khay nhớ tạm) trong Phím tắt, nhập nó, chuyển đổi nó bằng tùy chọn mã hóa base64 và cuối cùng chuyển tiếp nó đến máy chủ độc hại."
Dữ liệu được trích xuất sau đó được chụp và lưu dưới dạng hình ảnh ở phía kẻ tấn công bằng ứng dụng Flask, mở đường cho việc khai thác tiếp theo.
"Các phím tắt có thể được xuất và chia sẻ giữa những người dùng, một thực tế phổ biến trong cộng đồng Phím tắt", nhà nghiên cứu cho biết. "Cơ chế chia sẻ này mở rộng phạm vi tiếp cận tiềm năng của lỗ hổng, vì người dùng vô tình nhập các phím tắt có thể khai thác CVE-2024-23204."