iOS 17.3 vá lỗ hổng trong Apple Shortcuts cho phép đánh cắp dữ liệu người dùng

Apple khuyến cáo người dùng nên cập nhật lên iOS 17.3 nếu không muốn bị đánh cắp dữ liệu.

Một lỗ hổng nghiêm trọng trong ứng dụng Shortcuts của Apple đã được vá trong bản cập nhật iOS 17.3. Lỗ hổng này cho phép kẻ tấn công đánh cắp dữ liệu nhạy cảm của người dùng, được đánh giá mức độ nghiêm trọng 7.5 trên 10 theo thang điểm CVSS.

Lỗ hổng được Bitdefender phát hiện và công bố chi tiết vào ngày hôm nay. Vấn đề nằm ở tính năng "Expand URL" trong Shortcuts, vốn dĩ được thiết kế để mở rộng URL thành văn bản đầy đủ. Tuy nhiên, hacker đã lợi dụng tính năng này để bỏ qua các quy tắc bảo mật của Apple và truyền dữ liệu người dùng đến các trang web độc hại.

Bằng cách này, kẻ tấn công có thể đánh cắp ảnh, danh bạ, dữ liệu clipboard và các tệp tin khác của người dùng. Dữ liệu bị đánh cắp sau đó được mã hóa và tải lên một trang web, nơi kẻ tấn công có thể truy cập và đánh cắp chúng.

Lỗ hổng này đặc biệt nguy hiểm vì các Shortcuts độc hại có thể được chia sẻ qua liên kết, dẫn đến lây nhiễm hàng loạt. Hơn nữa, với hàng trăm hành động có thể được tích hợp trong một Shortcuts, người dùng thông thường khó có thể phát hiện ra Shortcuts độc hại.

May mắn là Apple đã nhanh chóng vá lỗi hổng này trong bản cập nhật iOS 17.3 được phát hành vào tháng trước. Người dùng nên cập nhật lên phiên bản mới nhất để đảm bảo an toàn dữ liệu của mình.