Theo Bitdefender, lỗ hổng bảo mật này được đánh giá mức độ nghiêm trọng ở mức 7.5/10 theo thang điểm Lỗ hổng phổ biến (CVSS). Bitdefender đã báo cáo lỗ hổng cho Apple, và hãng đã phát hành bản vá trong bản cập nhật iOS 17.3 vào tháng trước.

Phím tắt là một công cụ tự động hóa công việc trên các thiết bị macOS và iOS của Apple. Nó cho phép người dùng tạo các luồng công việc để tự động hóa các tác vụ, từ việc tạo GIF và kết hợp ảnh iPhone đến tự động hóa các tính năng ưa thích trên xe Tesla.

Nguồn: Primkov/Shutterstock

Tuy nhiên, phím tắt phải tuân theo một số quy tắc do Apple đặt ra. Ví dụ, tất cả phím tắt đều phải tuân theo Khung minh bạch, đồng ý và kiểm soát (TCC) của Apple, một khung bảo mật kiểm soát quyền truy cập vào dữ liệu nhạy cảm và tài nguyên hệ thống của ứng dụng. Như vậy, trong khi phím tắt có thể làm được nhiều điều, Apple có các biện pháp kiểm tra để đảm bảo quyền riêng tư của người dùng.

Lỗ hổng bảo mật này xảy ra khi các phím tắt độc hại sử dụng chức năng "Mở rộng URL" để bỏ qua các biện pháp bảo vệ TCC của Apple, cho phép bên thứ ba truyền dữ liệu đến các trang web độc hại. Những phím tắt bị xâm phạm này có thể đánh cắp ảnh, danh bạ, dữ liệu clipboard và các tệp tin khác. Sau đó nó sẽ mã hóa dữ liệu thành base64 và tải lên một trang web nơi chúng có thể được sao chép và đánh cắp.

Theo AppleInsider, những phím tắt độc hại này có thể được chia sẻ giữa người dùng thông qua liên kết, dẫn đến khả năng lây lan rộng rãi. Do một phím tắt có thể chứa hàng trăm thao tác, việc nhận biết phím tắt độc hại là cực kỳ khó khăn đối với đại đa số người dùng thông thường.

Với việc vá lỗ hổng ứng dụng phím tắt trong bản cập nhật iOS 17.3, người dùng Apple đã được bảo vệ khỏi mối đe dọa này. Tuy nhiên, các chuyên gia khuyến nghị người dùng nên cập nhật lên phiên bản iOS mới nhất để đảm bảo an toàn thông tin. Đồng thời, người dùng nên thận trọng khi cài đặt các phím tắt từ các nguồn không xác thực, và chỉ nên sử dụng các ứng dụng có uy tín để giảm nguy cơ lây nhiễm mã độc.