Lỗ hổng bảo mật trong iPhone Mirroring trên iOS 18 và macOS Sequoia

Nhóm bảo mật Sevco phát hiện lỗ hổng tồn tại trên tính năng mới 'iPhone Mirroring', cho phép hiển thị màn hình iPhone trên máy Mac, khiến dữ liệu người dùng bị lộ cho nhà tuyển dụng. Đây là tính năng mới được Apple giới thiệu trên iOS 18 và macOS Sequoia.

Khi người dùng sử dụng tính năng này, máy Mac sẽ tạo ra một thư mục chứa thông tin về các ứng dụng iPhone đang được sử dụng.

Mặc dù nội dung cụ thể trong ứng dụng không bị lộ, nhưng kẻ xấu vẫn có thể truy cập danh sách các ứng dụng được cài đặt trên iPhone thông qua kiểm tra mạng tự động. Điều này có thể gây ra rủi ro về quyền riêng tư, đặc biệt là trong môi trường công sở, những ứng dụng mà nhân viên sử dụng trên điện thoại cá nhân có thể bị lộ với nhà tuyển dụng.

Sevco đã gửi thông báo về lỗ hổng này tới Apple và khuyến cáo người dùng tạm thời ngừng sử dụng tính năng iPhone Mirroring trên máy Mac tại nơi làm việc cho đến khi Apple phát hành bản vá.

Việc lộ thông tin về các ứng dụng được cài đặt trên iPhone của người dùng có thể dẫn đến những hậu quả nghiêm trọng, như:

Nhà tuyển dụng có thể dựa trên các ứng dụng nhân viên sử dụng như ứng dụng hẹn hò, ứng dụng liên quan đến sức khỏe tâm thần… mà có thành kiến với họ.

Một số ứng dụng nhật định có thể bị hạn chế hoặc bị cấm ở một số quốc gia.

Nếu bị phát hiện thu thập dữ liệu cá nhân của nhân viên mà không được phép, nhà tuyển dụng có thể gặp rắc rối pháp lý.

Hy vọng Apple sẽ sớm khắc phục lỗ hổng này để bảo vệ quyền riêng tư của người dùng.

iOS 18 gặp lỗi khó hiểu, iPhone đọc lớn mật khẩu của người dùng

Một lỗ hổng nghiêm trọng được phát hiện trong iOS 18 và iPadOS 18, cho phép tính năng VoiceOver đọc ra mật khẩu đã lưu trữ, đe dọa đến sự riêng tư của người dùng và gây ra những lo ngại lớn về an ninh thông tin trong ngành công nghệ.

Lỗi được xác định với mã CVE-2024-44204 là một lỗi logic trong ứng dụng quản lý mật khẩu mới. Việc VoiceOver có khả năng đọc mật khẩu của người dùng có thể khiến thông tin cá nhân bị lộ, tạo điều kiện cho hành vi truy cập trái phép vào tài khoản.

Nhiều mẫu iPhone và iPad, bao gồm cả iPhone X và các mẫu iPad như iPad Pro và iPad Air từ thế hệ thứ ba trở đi đều bị ảnh hưởng bởi lỗi này.

Để khắc phục lỗi nghiêm trọng này, Apple đã nhanh chóng phát hành bản cập nhật iOS 18.0.1 và iPadOS 18.0.1. Đồng thời, công ty cũng khẳng định đã thực hiện các biện pháp kiểm tra nghiêm ngặt hơn để đảm bảo rằng VoiceOver không còn khả năng đọc mật khẩu của người dùng.

Ngoài lỗi VoiceOver, bản phát hành iOS 18 còn gặp phải một số vấn đề khác như lỗi CVE-2024-44207 ảnh hưởng đến các mẫu iPhone 16 mới cho phép ghi âm tin nhắn thoại mà không thông báo cho người dùng rằng micrô đang hoạt động. May mắn vấn đề này đã được khắc phục.

Lỗ hổng VoiceOver được phát hiện bởi nhà nghiên cứu độc lập Bistrit Daha. Sự xuất hiện của các lỗ hổng này nhấn mạnh tầm quan trọng của việc người dùng thường xuyên cập nhật thiết bị của mình và cho thấy giá trị của các cuộc kiểm tra bảo mật độc lập trong việc phát hiện và khắc phục các sự cố như vậy.