Lỗi bảo mật trên iPhone XS khiến mật mã màn hình khoá bị qua mặt, nguy cơ lộ danh bạ, hình ảnh

Thủ thuật qua mặt mật mã màn hình này hoạt động trên iOS 12 và chiếc iPhone XS mới nhất của Apple cho phép kẻ xấu truy xuất danh bạ và hình ảnh lưu trữ trên thiết bị của người dùng.

Theo trang tin ThreatPost, một lỗ hổng bảo mật liên quan mật mã màn hình khoá xuất hiện trên iOS 12 mới ra mắt của Apple có thể cho phép kẻ tấn công truy xuất hình ảnh và danh bạ (bao gồm cả các số điện thoại và email) trên iPhone XS và các thiết bị khác dù chúng đã được khoá màn hình trước đó.

Hacker có thể lợi dụng thủ thuật hack trực tiếp trên chiếc iPhone chạy iOS 12 beta và chính thức bị dính lỗ hổng để qua mặt mật mã màn hình khoá. Lỗ hổng này được tiết lộ bởi Jose Rodriguez, một người tự nhận là fan Apple và là một "nhân viên văn phòng" ở Tây Ban Nha. Rodriguez đã đăng tải một video miêu tả hành động hack trên kênh YouTube của mình là Videosdebarraquito. Trong đoạn video này, Rodriguez hướng dẫn người xem thực hiện hack màn hình khoá iOS 12 thông qua... 37 bước khá phức tạp.;

Trang tin ThreatPost cũng đã tự mình thực hiện các thao tác trên và xác nhận thủ thuật hack này hoạt động trên nhiều mẫu iPhone khác nhau, bao gồm cả chiếc iPhone XS mới nhất của Apple.

Apple chưa đưa ra bình luận nào liên quan vụ việc này.

Lỗ hổng "vòng lặp" nói trên cho phép hacker truy xuất các hình ảnh bằng cách chỉnh sửa một liên hệ trong danh bạ và thay đổi hình ảnh liên quan đến một người gọi cụ thể. Apple đã tích hợp một bản vá nhằm ngăn chặn các thủ thuật hack giúp hacker có thể xem hình ảnh thông qua danh bạ. Tuy nhiên, Rodriguez lại phát hiện ra một đường vòng để qua mặt các rào cản bảo mật đó.

Quy trình hack xoay quanh việc lừa Siri và lợi dụng tính năng "Trợ năng" (Accessibility) trên iOS để kích hoạt VoiceOver nhằm qua mặt mật mã của thiết bị. Thủ thuật hack này sẽ hoạt động tốt miễn là kẻ tấn công thao tác trực tiếp trên iPhone đã bật Siri, và Face ID thì bị tắt đi hoặc bị che lại (ví dụ như bằng băng dính).

Các thủ thuật qua mặt mật mã iPhone đã trở thành một vấn đề phổ biến trong vài năm qua, và nó lại xuất hiện mỗi khi có một bản iOS mới được tung ra. Trên iOS 10 vài năm trước, người ta cũng phát hiện ra một lỗ hổng tương tự, cũng lợi dụng Siri và VoiceOver. Trước đây, các nhà nghiên cứu cũng từng tìm ra cách một kẻ tấn công có thể sử dụng Siri để qua mặt mật mã iPhone và truy xuất các ứng dụng iOS được cài sẵn như Clock và Calendar, ảnh hưởng các hệ điều hành iOS 9.0, 9.1, và 9.2.1. Một lỗ hổng khác xuất hiện năm 2016, ảnh hưởng iOS 9.3.1, cho phép kẻ tấn công qua mặt Siri để tìm kiếm trên Twitter, từ đó chiếm quyền truy cập đến các hình ảnh và danh bạ trên thiết bị.

Minh.T.T