Lỗ hổng trên macOS Mojave cho phép truy cập các file được bảo vệ

Nhà nghiên cứu bảo mật Patrick Wardle vừa phát hiện lỗ hổng trên macOS Mojave cho phép truy cập các file được bảo vệ, theo đó Patrick Wardle chỉ ra rằng việc triển khai tính năng bảo vệ quyền tư trên hệ điều hành macOS mới nhất của Apple chưa thực sự đủ mạnh.

Trong clip dài 1 phút, nhà nghiên cứu bảo mật Patrick Wardle đã đưa ra dẫn chứng để chứng minh lỗ hổng bảo mật trên giao diện tối màu trong macOS có thể bị kẻ tấn công bypass để tiếp cận các dữ liệu người dùng nhạy cảm, chẳng hạn như các thông tin trong danh bạ.

lo hong tren macos mojave cho phep truy cap cac file duoc bao ve

Lỗ hổng trên macOS Mojave cho phép truy cập các file được bảo vệ

Lỗi trong việc triển khai cơ chế bảo mật mới

Trả lời BleepingComputer, nhà nghiên cứu bảo mật cho biết ông có thể truy cập các danh bạ, liên hệ người dùng bí mật thông qua ứng dụng không được cấp đặc quyền, tức là ứng dụng không được chạy dưới quyền Admin.

Patrick Wardle cho rằng lỗ hổng Zero-day được tạo ra từ cách mà Apple triển khai các biện pháp bảo vệ các dữ liệu bảo mật riêng tư. Đồng thời ông cũng nhấn mạnh, lỗ hổng mà ông phát hiện trong quá trình thực thi có khả năng tin cậy lên đến 100%, cho phép các ứng dụng độc hại hoặc các ứng dụng không đáng tin cậy bypass cơ chế bảo mật mới và truy cập các thông tin dữ liệu nhạy cảm không được cho phép.

Tuy nhiên cơ chế bypass mà Wardle phát hiện không hoạt động với tất cả các tính năng bảo mật riêng tư mới, và các thành phần dựa trên phần cứng như webcam cũng không bị ảnh hưởng.

Nhà nghiên cứu bảo mật cũng cho biết thêm hiện ông đang giữ các chi tiết kỹ thuật, cơ chế hoạt động của lỗ hổng bảo mật. Các thông tin này sẽ được công bố tại hội nghị Mac Security mà ông tổ chức tại Maui, Hawaii, vào tháng 11 tới đây.

Video dưới đây minh họa cách mà Wardle cố gắng sao chép nội dung trong mục danh bạ và bị từ chối khi hệ điều hành yêu cầu quyền Admin. Tuy nhiên sau đó nhà nghiên cứu đã chạy một ứng dụng không có đặc quyền cho phép ông sao chép các dữ liệu danh bạ vào máy tính và cung cấp quyền truy cập vào một số mục, thông tin khác.

Bảo vệ dữ liệu người dùng macOS Mojave

Là một phần trong nỗ lực bảo vệ dữ liệu của mình, người dùng macOS Mojave cần chú ý khi cấp quyền cho phép các ứng dụng có quyền truy cập các dịch vụ vị trí, danh bạ, lịch, lời nhắc, ảnh, cũng như một số thông tin và file dữ liệu cá nhân khác.

Điều này đồng nghĩa với việc các ứng dụng không thể tự động thực hiện truy cập bằng cách mô phỏng đàu vào của con người sử dung các API được quy định. Các truy cập như thế này sẽ bị chặn trong hệ điều hành mới nhất của Apple, đồng thời kích hoạt các thông báo ủy quyền để tương tác trực tiếp với người dùng.

Để hạn chế việc các thông báo nhắc nhở ủy quyền liên tục hiển thị trên màn hình gây phiền toái, Apple cho phép người dùng ủy quyền trước các ứng dụng mà họ muốn cho phép truy cập các dữ liệu, thông tin nhạy cảm bằng cách thêm các ứng dụng này vào danh mục Application Data trên cửa sổ System Preferences, Security & Privacy trên hệ thống.

Patrick Wardle là một trong những hacker macOS có tiếng, đồng thời ông cũng là người tạo ra một số công cụ bảo mật miễn phí cho hệ điều hành của Apple. Trong số các lỗi bảo mật mà Patrick Wardle phát hiện trên macOS, lỗi bảo mật mới nhất mà ông phát hiện trong một sự cố và đã được công bố tại hội nghị Def Con hồi tháng 8 vừa qua.

Người dùng cũng nên tự trang bị cho mình những kiến thức để bảo vệ thiết bị của mình, nếu đang dùng Mac, bạn tham khảo những cách bảo vệ Mac khỏi phần mềm độc hại tại đây.

http://thuthuat.taimienphi.vn/lo-hong-tren-macos-mojave-cho-phep-truy-cap-cac-file-duoc-bao-ve-38318n.aspx
Sau một thời gian dài thử nghiệm, Microsoft chính thức phát hành Office 2019 cho Windows và Mac với vô vàn những tính năng mới, hỗ trợ nhiều hơn cho người dùng. Nếu bạn đang dùng những phiên bản thấp hơn, hãy nhanh chóng nâng cấp lên phiên bản Office 2019 mới này.

Tác giả: Nguyễn Hải Sơn     (4.0★- 14 đánh giá)  ĐG của bạn?

  

Bài viết liên quan

Phát hiện lỗ hổng trong công cụ mã hóa email PGP/GPG và S/MIME
Phát hiện lỗ hổng trong CyberArk Enterprise Password Vault
Cách sử dụng chế độ Dark Mode trên macOS Mojave
Lỗ hổng bảo mật trên PowerPoint phát tán phần mềm độc hại
Microsoft phát hành bản vá lỗi khẩn cấp cho lỗ hổng trong Malware Protection Engine
Từ khoá liên quan:

Lỗ hổng trên macOS Mojave cho phép truy cập các file được bảo vệ

, lỗ hổng trên macOS Mojave, Patrick Wardle,
SOFT LIÊN QUAN
  • MS17 010

    Bản cập nhật vá lỗi lỗ hổng bảo mật cho Windows

    MS17-010 là bản cập nhật giúp giải quyết các lỗ hổng bảo mật trong Microsoft Windows vì vậy sẽ khá quan trọng cho người dùng máy tính. Những máy tính chưa cài đặt MS17-010 sẽ có nguy cơ cao bị các phần mềm tống tiền khai thác qua những lỗ hổng bảo mật do một số biến thể của chúng.

Tin Mới

  • Windows Defender đã có thể phát hiện các công cụ trợ năng backdoor

    Kể từ giờ, Windows Defender đã có thể phát hiện các công cụ trợ năng như sethc.exe hoặc utilman.exe bị tấn công bởi Debugger Image File Execution Options và được sử dụng như một backdoor.

  • Những điểm mới trong iOS 12.1.1

    Hôm nay Apple vừa phát hành iOS 12.1.1, bản cập nhật thứ 3 cho hệ điều hành iOS 12, được phát hành hồi tháng 9 năm nay. iOS 12.1.1 chỉ là bản cập nhật nhỏ, để tìm hiểu những điểm mới trong iOS 12.1.1, bạn đọc cùng tham khảo bài viết dưới đây của Taimienphi.vn.

  • Google+ bị khai tử sớm hơn dự kiến vì làm rò rỉ dữ liệu người dùng

    Google+ bị khai tử sớm hơn dự kiến vì làm rò rỉ dữ liệu người dùng, theo đó mới đây Google vừa phát hiện thêm lỗi mới gây ảnh hưởng đến 52.5 triệu người dùng, Công ty thông báo sẽ chính thức khai tử nền tảng vào tháng 4 năm sau, thay vì tháng 8 như trước đây.

  • Cách tải MP3 từ Youtube

    Bạn yêu thích một bài hát trên Youtube nhưng để có được file nhạc đó bạn phải sử dụng thêm phần mềm để tách nhạc, như vậy sẽ khá phiền phức thậm chí là khó khăn với nhiều người. Vì vậy mà bài viết hướng dẫn dưới đây sẽ cho bạn nhiều cách khác nhau để bạn có thể tải nhạc MP3 từ Youtube nhanh chóng mà không cần phải sử dụng tới bất kỳ phần mềm nào cả.


 Mùa hè tới rồi muốn so sánh giá tìm điều hòa giá rẻ nhất thị trường hãy dùng TopGia để so sanh gia có nhiều mẫu dieu hoa để so sanh sanh, xem dieu hoagiá rẻ để so sánh giá