Lỗ hổng cho phép lấy cắp file dữ liệu từ iPhone

Chuyên gia bảo mật kỹ thuật số Pawel Wylecial công bố một lỗ hổng bảo mật trong trình duyệt Safari. Theo bài đăng được công bố, trong đó mô tả cách kẻ tấn công có thể sử dụng để đánh cắp file từ người dùng điện thoại thông minh iPhone và máy tính chạy macOS.
Sputnik

Lỗ hổng trong Safari?

Lỗ hổng được tìm thấy trong tiêu chuẩn Web Share API được nhúng trong trình duyệt của Apple, cho phép bạn chia sẻ văn bản, file và các nội dung khác. Đồng thời, nó cũng có chức năng trao đổi các tập tin được lưu trên ổ đĩa cứng (thông qua lệnh file: //). Tính năng này có sẵn trên cả iOS và macOS.

Mối nguy khi dùng iPhone và iPad: Lộ dữ liệu cá nhân

Do đó, kẻ tấn công có thể định cấu hình một liên kết được gửi bằng chức năng Navigator.share trong tin nhắn. Do đó một tệp từ hệ thống sẽ được thêm vào thư. Ví dụ, một tài liệu có mật khẩu. Theo chuyên gia này, lỗ hổng đòi hỏi sự tương tác giữa hacker và nạn nhân, nhưng có thể khiến tập tin bị ẩn với người dùng.

Đánh cắp dữ liệu trên thiết bị Apple

Vyletsial đã thông báo cho Apple về vấn đề này vào tháng 4, nhưng tập đoàn của Mỹ trả lời họ sẽ chỉ phát hành bản vá vào mùa xuân năm 2021. Đồng thời, công ty yêu cầu chuyên gia không công bố thông tin về lỗ hổng cho đến mùa xuân năm sau. Tuy nhiên, 10 ngày sau trả lời của Apple, anh đã công bố về lỗ hổng bảo mật.

Thảo luận