Lý do vì sao bạn cần cập nhật ngay iOS 16.1 mới nhất cho thiết bị của mình
Apple mới đây đã phát hành iOS 16.1, iPadOS 16.1 và macOS Ventura cho tất cả người dùng. Bên cạnh các tính mới được Apple cho ra mắt thì 1 lý do mà người dùng nên cập nhật ngay lên iOS 16.1 chính là để vá lỗi bảo mật nguy hiểm đang tồn tại trên các thiết bị, hãy cùng Di Động Minh Trí tìm hiểu nha.
Ảnh minh họa lỗ hổng bảo mật trên iOS có thể bị tin tặc nghe lén từ xa (Ảnh: CNET)
Cụ thể, "SiriSpy" là tên của một lỗi bảo mật nguy hiểm đã được tìm thấy bởi nhà phát triển indie kiêm cộng tác viên của 9to5Mac - Guilherme Rambo.
Theo Guilherme chia sẻ: “Bất kỳ ứng dụng nào có quyền truy cập bluetooth đều có thể ghi âm lại các cuộc trò chuyện của bạn với Siri và cả âm thanh từ tính năng đọc chính tả trên bàn phím của iOS khi sử dụng tai nghe AirPods hoặc Beats. Mặc dù các ứng dụng không yêu cầu quyền truy cập micrô nhưng bằng một cách nào đó lỗi bảo mật nghiêm trọng này có thể ghi âm mà không để lại bất kỳ dấu vết nào”.
Các ứng dụng của tin tặc có thể lợi dụng kẽ hở qua AirPods và Siri để nghe lén (Ảnh: BGR)
Rambo đã phát hiện ra rằng một dịch vụ có tên DoAP, được sử dụng để hỗ trợ Siri và Dictation, trên thực tế DoAP có thể nghe những gì anh ấy nói thông qua AirPods mà không cần phải nói “Hey Siri”. Để kiểm chứng vấn đề này có thực sự xảy ra hay không thì ông Guilherme đã tạo ra một ứng dụng của riêng mình. Sau đây là cách mà Guilherme Rambo kiểm chứng lỗi bảo mật nghiêm trọng:
Yêu cầu quyền Bluetooth.
Tìm thiết bị Bluetooth LE được kết nối có dịch vụ DoAP.
Kết nối các thiết bị đặc điểm đó, khi dữ liệu âm thanh đến truyền đến thì ứng dụng này bắt đầu ghi lại.
Khi quá trình âm thanh truyền tới bắt đầu, tạo một tệp .wav mới, sau đó thu thập các gói Opus được gửi đến từ AirPods vào một bộ giải mã và rồi ghi âm thanh lại vào tệp.
Khi quá trình phát âm thanh dừng lại, đóng tệp .wav, sau đó gửi thông báo đẩy (push notification) nội bộ để chứng minh rằng ứng dụng đã ghi lại âm thanh thành công của người dùng trong nền.
Ứng dụng do Guilherme thiết kế để kiểm chứng (Ảnh: Medium)
Trong tình huống thực tế, một ứng dụng bất kỳ nào đã có quyền truy cập Bluetooth thì đều có thể thực hiện điều này, người dùng sẽ không biết điều gì đang diễn ra âm thầm.
Lý do người dùng không biết mình đang bị nghe lén có thể là do thiết bị không hiện thông báo yêu cầu truy cập micrô, ngay cả trong Cài đặt có mục “Siri & Dictation” nhưng mà không có nút để tắt micro, vì thế các ứng dụng có thể lợi dụng "kẽ hở" bằng cách ghi âm AirPods qua Bluetooth LE.
Cập nhật iOS 16.1 ngay hôm nay để khắc phục lỗi bảo mật SiriSpy (Ảnh: CNET)
Bên cạnh đó, lỗ hổng bảo mật SiriSpy này cũng ảnh hưởng đến người dùng macOS. Apple có thể đã khắc phục sự cố này thông qua bản cập nhật hệ điều hành - macOS 13 Ventura.
Rambo cho biết anh đã phát hiện ra lỗ hổng này vào tháng 8/2022. Sau đó, anh ấy đã thông báo cho Apple và công ty cũng đang điều tra. Với hệ điều hành iOS 16.1 vừa ra mắt, Nhà Táo cũng đã tung ra một bản vá bảo mật kèm theo.
Đừng quên cập nhật thiết bị Apple của bạn lên hệ điều hành mới nhất, cung cấp bản vá lỗi có thể theo dõi các cuộc trò chuyện của người dùng với Siri thông qua AirPods.
Bạn nghĩ sao về lỗi bảo mật SiriSpy này?