Một lỗ hổng nghiêm trọng trong ứng dụng Shortcuts của Apple đã được sửa trong bản cập nhật iOS 17.3. Lỗ hổng này cho phép tin tặc đánh cắp thông tin nhạy cảm của người dùng, được đánh giá mức độ nghiêm trọng 7.5 trên 10 theo thang điểm CVSS.
Bitdefender đã phát hiện và công bố chi tiết về lỗ hổng vào hôm nay. Vấn đề xuất phát từ tính năng "Expand URL" trong Shortcuts, ban đầu được thiết kế để mở rộng URL thành văn bản đầy đủ. Tuy nhiên, hacker đã tận dụng tính năng này để bypass các quy tắc bảo mật của Apple và chuyển dữ liệu người dùng đến các trang web độc hại.
Theo cách này, hacker có thể lấy cắp ảnh, danh bạ, dữ liệu clipboard và các tệp tin khác của người dùng. Dữ liệu bị lấy cắp sau đó được mã hóa và tải lên một trang web, nơi hacker có thể truy cập và lấy cắp chúng.
Lỗ hổng này rất nguy hiểm vì các Shortcuts độc hại có thể được chia sẻ qua liên kết, gây ra lây nhiễm hàng loạt. Ngoài ra, với hàng trăm hành động có thể được tích hợp trong một Shortcuts, người dùng thường khó có thể phát hiện ra các Shortcuts độc hại.
Rất may mắn là Apple đã nhanh chóng khắc phục lỗi này trong bản cập nhật iOS 17.3 ra mắt vào tháng trước. Người dùng nên cập nhật lên phiên bản mới nhất để bảo vệ an toàn thông tin cá nhân của mình.
