Guilherme Rambo cho biết: Bất kỳ ứng dụng nào có quyền truy cập đều có thể ghi lại các cuộc trò chuyện của người dùng với Siri và âm thanh từ tính năng đọc chính tả bàn phím của iOS khi sử dụng tai nghe AirPods hoặc Beats. Điều này xảy ra mà không cần ứng dụng yêu cầu quyền truy cập micro và cũng không để lại bất kỳ dấu vết cho thấy ứng dụng đang nghe micro.
Lỗ hổng này liên quan đến dịch vụ DoAP có trong AirPods để hỗ trợ Siri và Dictation. Do đó cho phép tin tặc tạo ra một ứng dụng có thể kết nối với AirPods qua Bluetooth và âm thầm ghi lại âm thanh.
Trên macOS, việc khai thác có thể bị lạm dụng để vượt qua khung bảo mật Transparency, Consent and Control (TCC), có nghĩa là ứng dụng nào cũng có thể ghi lại các cuộc trò chuyện với mà không yêu cầu bất kỳ quyền nào. Nguyên nhân là do thiếu kiểm tra quyền đối với BTLEServerAgent, dịch vụ daemon chịu trách nhiệm xử lý âm thanh DoAP.
Hiện Apple đã phát hành khắc phục lỗ hổng này dành cho iPhone 8 trở lên, iPad Pro, iPad Air thế hệ thứ 3 trở lên, iPad thế hệ thứ 5 trở lên và iPad mini thế hệ thứ 5 trở lên. Lỗ hổng cũng được giải quyết trong tất cả các phiên bản macOS được hỗ trợ.
M.H
14:00 | 27/10/2022
11:00 | 24/10/2022
13:00 | 25/10/2022
16:00 | 30/11/2022
10:00 | 23/08/2024
Các nhà nghiên cứu bảo mật tại Cisco Talos vừa phát hiện ra một số lỗ hổng Microsoft Office, cho phép tin tặc theo dõi người dùng thông qua camera và micro.
13:00 | 17/06/2024
Các nhà nghiên cứu Công ty bảo mật đám mây Wiz (Mỹ) phát hiện ra một lỗ hổng bảo mật nghiêm trọng trong dịch vụ trí tuệ nhân tạo (AI) có thể cho phép các tác nhân đe dọa truy cập vào các mô hình AI độc quyền và lấy các thông tin nhạy cảm.
07:00 | 05/06/2024
Vào 3 giờ 10 phút sáng ngày 04/6, hệ thống công nghệ thông tin của Tổng công ty Bưu điện Việt Nam (Vietnam Post) bị tấn công mã hóa dữ liệu, gây ảnh hưởng trực tiếp đến việc thực hiện các hoạt động liên quan đến dịch vụ bưu chính chuyển phát. Các dịch vụ tài chính bưu chính, hành chính công và phân phối hàng hóa đến thời điểm này vẫn hoạt động bình thường.
16:00 | 03/06/2024
Nhóm Tình báo mối đe dọa của Microsoft cho biết họ đã phát hiện một tác nhân đe dọa, được theo dõi dưới tên Storm-1811, đang lạm dụng công cụ quản lý khách hàng Quick Assist để nhắm mục tiêu vào người dùng trong các cuộc tấn công kỹ thuật xã hội.
Các chuyên gia bảo mật của hãng ESET (Slovakia) vừa phát hiện một phần mềm độc hại mới trên nền tảng Android có khả năng sử dụng đầu đọc NFC để đánh cắp thông tin thanh toán từ thiết bị của nạn nhân và chuyển dữ liệu này đến tay kẻ tấn công.
10:00 | 30/08/2024