Lỗi bảo mật trên iOS 13 cho phép xem danh bạ mà không cần mở khóa

Chuyên gia nghiên cứu bảo mật Joe Rodriguez đã phát hiện một lỗ hổng trên nền tảng iOS 13, cho phép qua mặt màn hình khóa trên iPhone để có thể truy cập vào danh bạ liên lạc trên thiết bị.

Để thực hiện điều này, hacker có thể thực hiện một cuộc gọi FaceTime đến chiếc iPhone muốn xâm nhập, sau đó sử dụng chức năng trả lời bằng tin nhắn trên iPhone rồi kích hoạt tính năng VoiceOver trên thiết bị. VoiceOver là tính năng cho phép iPhone đọc lên mọi thứ trên màn hình mà người dùng chạm đến, một tính năng hỗ trợ cho người dùng bị mù hoặc suy giảm thị lực.

Bằng cách này, hacker có thể xem được danh sách những người có trong danh bạ của iPhone, bao gồm số điện thoại, địa chỉ email, địa chỉ nhà và nhiều thông tin khác lưu trên danh bạ mà không cần phải mở khóa thiết bị.

Tuy nhiên, để có thể khai thác lỗ hổng bảo mật này, hacker phải tiếp cận và sử dụng trực tiếp thiết bị muốn tấn công, thay vì có thể tấn công và khai thác lỗ hổng bảo mật từ xa.

Điều đáng nói là Joe Rodriguez đã phát hiện lỗi bảo mật này trên bản thử nghiệm của iOS 13 từ ngày 17/7, sau đó thông báo lỗi đến cho Apple. Tuy nhiên, đến phiên bản iOS 13 Golden Master (phiên bản thử nghiệm cuối cùng trước khi chính thức đến tay người dùng) thì lỗi bảo mật do Rodriguez phát hiện vẫn đang tồn tại. Điều này cho thấy Apple chưa vá lại lỗi do Rodgiguez phát hiện và thông báo.

Apple sẽ chính thức phát hành iOS 13 đến người dùng vào ngày 19/9 tới đây và nhiều khả năng “quả táo” sẽ vá lại lỗ hổng bảo mật này trước khi nền tảng iOS chính thức được phát hành.

Năm ngoái, Rodriguez cũng đã phát hiện một lỗi bảo mật tương tự trên phiên bản iOS 12.1, tuy nhiên thay vì chỉ có thể lấy được thông tin từ danh bạ, lỗi bảo mật này còn cho phép hacker xem được hình ảnh trên smartphone mà không cần mở khóa. Apple sau đó đã phải phát hành bản vá lỗi để khắc phục lỗ hổng bảo mật do Rodriguez phát hiện trên iOS 12.

T.Thủy