Phát hiện lỗ hổng masOS mới cho phép hacker đánh cắp lịch sử duyệt web

Trang tin công nghệ ZDNet vừa cho hay, một lỗ hổng nguy hiểm trên hệ điều hành masOS vừa bị phát hiện, qua đó có thể giúp hacker đánh cắp dữ liệu lịch sử duyệt web của người dùng trên Safari.


Theo ZDNet, lỗ hổng này không thể được khai thác từ xa, mà chỉ có thể bị lợi dụng thông qua việc lừa người sử dụng cài đặt một ứng dụng độc hại lên máy tính. Chi tiết của lỗ hổng này đã được các kỹ thuật viên chia sẻ bí mật với đội ngũ bảo mật của Apple vào tuần qua. Cụ thể, một lỗi trong giao diện lập trình ứng dụng (API) dành cho các nhà phát triển của Safari đã cho phép các ứng dụng độc hại cài đặt trên phiên bản hệ điều hành macOS Mojave truy cập vào một thư mục được bảo vệ. Từ đó, kẻ tấn công có thể trích xuất dữ liệu lịch sử duyệt web trên ứng dụng Safari của người dùng.
Một lỗ hổng nguy hiểm trên hệ điều hành masOS vừa bị phát hiện, nó có thể giúp hacker đánh cắp dữ liệu lịch sử duyệt web của người dùng trên Safari.
Đáng chú ý là, lỗi này ảnh hưởng đến mọi phiên bản hệ điều hành macOS Mojave đã được phát hành công khai và được phát hiện bởi Jeff Johnson, nhà phát triển ứng dụng Underpass trên Mac và iOS và phần mở rộng StopTheMadness của Safari. "Trên hệ điều hành Mojave, một số thư mục bị hạn chế quyền truy cập theo mặc định," Johnson giải thích về lỗ hổng mới này trong một bài trên blog cá nhân, đã được ông đăng tải trong tuần vừa qua. "Chẳng hạn như thư mục "/Library/Safari. Thông qua ứng dụng Terminal, bạn thậm chí còn có thể liệt kê danh sách các tập tin trong thư mục đó", ông viết. Johnson cũng cho biết, "Theo mặc định, Mojave chỉ cung cấp quyền truy cập đến thư mục này cho một số ứng dụng hệ thống cụ thể, chẳng hạn như Finder. Tuy nhiên, tôi đã tìm ra cách để vượt qua các lớp bảo vệ của Mojave và cho phép mọi ứng dụng có thể truy cập vào thư mục "/Library/Safari mà không cần phải xin sự cho phép từ hệ thống hoặc người dùng," nhà phát triển này nói thêm. Và, "Hệ thống sẽ không hiển thị bất kì hộp thoại xin cấp quyền nào, mọi thứ được thực hiện hoàn toàn thông suốt. Bằng cách này, một ứng dụng độc hại có thể bí mật xâm phạm quyền riêng tư của người dùng thông qua việc "nhòm ngó" lịch sử duyệt web của người dùng." Chia sẻ với phóng viên ZDNet thông qua Twitter, Johnson đã mô tả nguồn gốc của lỗ hổng này đến từ "một lỗi trong giao diện lập trình ứng dụng (API) dành cho nhà phát triển". Ông từ chối chia sẻ bất kỳ chi tiết sâu hơn nào về lỗ hổng này do nó vẫn chưa được vá, bởi ông không muốn khiến người dùng macOS gặp phải nguy hiểm. Johnson cũng cho biết, sau khi phát hiện lỗ hổng, ông đã báo cáo vấn đề với nhóm bảo mật của Apple, và Apple đã chính thức công nhận lỗ hổng này. "Họ nói rằng họ đã xem xét báo cáo của tôi và hiện đang điều tra về vấn đề này," nhà phát triển cho biết. "Đây là một cách phản hồi tiêu chuẩn. Họ thường không cung cấp bất kì thông tin gì sau khi bạn báo cáo lỗ hổng, cho tới khi họ vá xong nó.", ông nói. "Apple không tìm cách hạ thấp mức độ nghiêm trọng của lỗ hổng này. Nhưng nó chỉ có thể bị lợi dụng bởi một ứng dụng đã được cài đặt trên hệ thống. Không thể khai thác lỗ hổng này từ xa.", Johnson bổ sung thêm. Mặc dù Johnson từ chối chia sẻ thêm bất kì chi tiết nào - ít nhất là ở thời điểm này, nhưng ông cũng khẳng định lỗi này không liên quan đến lỗ hổng mà nhà nghiên cứu bảo mật Bob Rudis của Rapid7 đã chia sẻ trên mạng Internet trong tuần vừa qua.







Phat hien lo hong masOS moi cho phep hacker danh cap lich su duyet web


Trang tin cong nghe ZDNet vua cho hay, mot lo hong nguy hiem tren he dieu hanh masOS vua bi phat hien, qua do co the giup hacker danh cap du lieu lich su duyet web cua nguoi dung tren Safari.


Theo ZDNet, lo hong này không the duoc khai thác tu xa, mà chi có the bi loi dung thông qua viec lua nguoi su dung cài dat mot ung dung doc hai lên máy tính. Chi tiet cua lo hong này dã duoc các ky thuat viên chia se bí mat voi doi ngu bao mat cua Apple vào tuan qua. Cu the, mot loi trong giao dien lap trình ung dung (API) dành cho các nhà phát trien cua Safari dã cho phép các ung dung doc hai cài dat trên phiên ban he dieu hành macOS Mojave truy cap vào mot thu muc duoc bao ve. Tu dó, ke tan công có the trích xuat du lieu lich su duyet web trên ung dung Safari cua nguoi dùng.
Mot lo hong nguy hiem trên he dieu hành masOS vua bi phát hien, nó có the giúp hacker dánh cap du lieu lich su duyet web cua nguoi dùng trên Safari.
Dáng chú ý là, loi này anh huong den moi phiên ban he dieu hành macOS Mojave dã duoc phát hành công khai và duoc phát hien boi Jeff Johnson, nhà phát trien ung dung Underpass trên Mac và iOS và phan mo rong StopTheMadness cua Safari. "Trên he dieu hành Mojave, mot so thu muc bi han che quyen truy cap theo mac dinh," Johnson giai thích ve lo hong moi này trong mot bài trên blog cá nhân, dã duoc ông dang tai trong tuan vua qua. "Chang han nhu thu muc "/Library/Safari. Thông qua ung dung Terminal, ban tham chí còn có the liet kê danh sách các tap tin trong thu muc dó", ông viet. Johnson cung cho biet, "Theo mac dinh, Mojave chi cung cap quyen truy cap den thu muc này cho mot so ung dung he thong cu the, chang han nhu Finder. Tuy nhiên, tôi dã tìm ra cách de vuot qua các lop bao ve cua Mojave và cho phép moi ung dung có the truy cap vào thu muc "/Library/Safari mà không can phai xin su cho phép tu he thong hoac nguoi dùng," nhà phát trien này nói thêm. Và, "He thong se không hien thi bat kì hop thoai xin cap quyen nào, moi thu duoc thuc hien hoàn toàn thông suot. Bang cách này, mot ung dung doc hai có the bí mat xâm pham quyen riêng tu cua nguoi dùng thông qua viec "nhòm ngó" lich su duyet web cua nguoi dùng." Chia se voi phóng viên ZDNet thông qua Twitter, Johnson dã mô ta nguon goc cua lo hong này den tu "mot loi trong giao dien lap trình ung dung (API) dành cho nhà phát trien". Ông tu choi chia se bat ky chi tiet sâu hon nào ve lo hong này do nó van chua duoc vá, boi ông không muon khien nguoi dùng macOS gap phai nguy hiem. Johnson cung cho biet, sau khi phát hien lo hong, ông dã báo cáo van de voi nhóm bao mat cua Apple, và Apple dã chính thuc công nhan lo hong này. "Ho nói rang ho dã xem xét báo cáo cua tôi và hien dang dieu tra ve van de này," nhà phát trien cho biet. "Dây là mot cách phan hoi tiêu chuan. Ho thuong không cung cap bat kì thông tin gì sau khi ban báo cáo lo hong, cho toi khi ho vá xong nó.", ông nói. "Apple không tìm cách ha thap muc do nghiêm trong cua lo hong này. Nhung nó chi có the bi loi dung boi mot ung dung dã duoc cài dat trên he thong. Không the khai thác lo hong này tu xa.", Johnson bo sung thêm. Mac dù Johnson tu choi chia se thêm bat kì chi tiet nào - ít nhat là o thoi diem này, nhung ông cung khang dinh loi này không liên quan den lo hong mà nhà nghiên cuu bao mat Bob Rudis cua Rapid7 dã chia se trên mang Internet trong tuan vua qua.

Phát hiện lỗ hổng masOS mới cho phép hacker đánh cắp lịch sử duyệt web

Trang tin công nghệ ZDNet vừa cho hay, một lỗ hổng nguy hiểm trên hệ điều hành masOS vừa bị phát hiện, qua đó có thể giúp hacker đánh cắp dữ liệu lịch sử duyệt web của người dùng trên Safari.
Giới thiệu cho bạn bè
  • gplus
  • pinterest

Bình luận

Đăng bình luận

Đánh giá: