Lỗ hổng bảo mật trên macOS khiến người dùng có thể bị đánh cắp dữ liệu
Lỗ hổng bảo mật trên macOS vừa bị phát hiện, khiến người dùng có nguy cơ bị đánh cắp dữ liệu cá nhân.
Theo The Next Web, chuyên gia Jeff Johnson, một nhà nghiên cứu bảo mật vừa báo cáo với Apple về lỗ hổng zero-day mới phát hiện trên nền tảng macOS, tin tặc có thể khai thác và truy cập vào những tập tin riêng tư trong trình duyệt Safari. này ảnh hưởng trên cả phiên bản beta của macOS Big Sur vừa phát hành.
Cụ thể, người dùng Safari sẽ bị lừa tải xuống một tập tin có vẻ vô hại từ trang web độc hại, nhưng macOS lại không phát hiện ra và xem đó là ứng dụng gốc, cấp quyền truy cập tương tự Safari. Sau đó, tin tặc có thể lợi dụng điểm yếu này để khai thác bất kỳ tập tin nào trên hệ thống rồi gửi về máy chủ do hắn kiểm soát.
Theo Johnson, lỗ hổng này do Hệ thống Bảo vệ Quyền riêng tư, Minh bạch và Kiểm soát của Apple (Apple’s Transparency, Consent, and Control – TCC) không kiểm tra đầy đủ các bước xác thực tập tin. Điều này đã tạo điều kiện cho tin tặc sửa đổi Safari và khởi chạy mã độc mà hệ thống macOS không phát hiện và kích hoạt chế độ bảo vệ thiết bị.
Hoạt động khai thác lỗ hổng này cũng thực hiện được trên macOS 11 Big Sur beta, dù vừa bổ sung thêm một số tính năng bảo mật trên những bản cập nhật Safari mới nhất.
Năm ngoái, Apple vừa mở rộng chương trình săn tiền thưởng cho những lỗi trên macOS với hy vọng các nhà nghiên cứu tìm ra những lỗ hổng bảo mật nguy hiểm và báo cáo để nhận những khoản tiền thưởng lớn. Tuy nhiên, phát hiện gần đây lại cho thấy hãng Táo khuyết chưa xử lý đủ nhanh với một số lỗi bảo mật được báo cáo về.
Apple cho biết đang xem xét về vấn đề này, đồng thời cho biết toàn bộ lỗi trên hệ điều hành macOS sẽ được khắc phục trong vài tháng tới khi macOS 11 ra mắt.
Theo The Next Web, việc khắc phục lỗ hổng chậm trễ một phần do tình hình dịch Covid-19 đang căng thẳng, nhiều nhân viên phải làm việc ở nhà khiến hiệu suất hoạt động của Apple giảm.
Tuy nhiên, Johnson cũng lưu ý rằng Apple đã xử lý vấn đề quá chậm khi ông đã thông báo về lỗ hổng này với hãng từ tháng 12/2019 và được xác nhận đang có kế hoạch khắc phục vấn đề. Thế nhưng đến tận thời điểm này Apple vẫn chưa giải quyết lỗ hổng nghiêm trọng này./.