Các bản cập nhật bảo mật được Apple phát hành trong tuần này cho iOS 13 và macOS Catalina 10.15 đã giải quyết khoảng 40 lỗ hổng, bao gồm các vấn đề ảnh hưởng đến cả hai hệ điều hành.

Một số người dùng iPad Pro cũng gặp vấn đề này. Và trong một số trường hợp, họ cũng không thể Restore từ chế độ DFU. Trên diễn đàn MacRumors, có người dùng phàn nàn iPad Pro 11 của họ cũng gặp vấn đề tương tự, không hoạt động trong quá trình cập nhật iOS 13.2 beta 2.

Điều bạn có thể thử là khởi động iPad vào chế độ DFU (nhấn nút tăng âm lượng, nút giảm âm lượng, sau đó giữ nút nguồn trong 5 giây) và cắm nó vào iTunes thông qua cáp để khôi phục. Tuy nhiên, iPad của họ vẫn gặp lỗi khi thử điều này, vì vậy người dùng đã phải đặt lịch với Apple để sửa lỗi.

Apple dường như đã phải đẩy thông báo lỗi không thể xác minh cập nhật iOS 13.2 beta 2 cho iPad Pro do không có kết nối Internet mặc dù kết nối vẫn có sẵn khi người dùng cài đặt phần mềm vào thời điểm này.

Apple có vẻ đã phải chặn cập nhật iOS 3.2 beta cho iPad Pro từ đêm qua và công ty đang nỗ lực tạo ra một phiên bản mới an toàn hơn để cài đặt. Tuy nhiên, từ bây giờ, người dùng iPad Pro nên tránh cài đặt iOS 13.2.

Nguồn quantrimang.com

Theo Apple, chức năng Fraudulent Website Warning của Safari sẽ đưa ra cảnh báo khi người dùng truy cập vào một trang web có dấu hiệu lừa đảo nhằm bảo vệ quyền riêng tư của người dùng. Khi Fraudulent Website Warning được kích hoạt, Safari sẽ kiểm tra đường link bạn truy cập với danh sách các trang web được đánh dấu là lừa đảo. Cảnh báo sẽ được hiển thị tới người dùng nếu trùng khớp. Danh sách các website lừa đảo đó do Google cung cấp. Với các máy được thiết lập vùng Trung Quốc, Safari dùng danh sách website lừa đảo do Tencent cung cấp. Nhằm đảm bảo quyền riêng tư của người dùng, địa chỉ cụ thể của website mà họ ghé thăm sẽ không được chia sẻ với bên cung cấp dịch vụ. Người dùng cũng có thể tắt chức năng này đi.

Apple giải thích thêm, việc kiểm tra URL diễn ra trên máy của người dùng mà thôi bởi danh sách do Google và Tencent cung cấp được lưu trữ trong nội bộ máy. Chính vì vậy, việc gửi đường link của người dùng cho các bên không bao giờ thật sự xảy ra.

Về việc dùng Tencent, Apple giải thích rằng do các tên miền của Google bị chặn ở Trung Quốc.

Chuyên gia mã hóa đại học Johns Hopkins, Matthew Green, giải thích thêm về hệ thống Safe Browsing này. Ông cho biết, các đường URL sẽ được Google hash thành một chuỗi không thể dịch ngược. Phần đầu của chuỗi hash này được gọi là prefix. Khi người dùng duyệt web, Safari sẽ đối chiếu prefix với Google để xem “cái này có an toàn không”. Nếu prefix khớp với một trang nào đó từng được Google đánh dấu là lừa đảo, khi đó Safari sẽ so sánh URL với danh sách tất cả các trang bắt đầu với prefix này do Google cung cấp để kiểm tra kỹ xem trang web đang xem có thật sự lừa đảo hay không. Nếu prefix an toàn thì không có chuyện gì xảy ra cả.

Điều này có nghĩa là chuỗi hash đầy đủ của đường link mà người dùng truy cập cũng bí mật với ngay cả Google hay Tencent. Chính vì vậy, người dùng không cần phải lo lắng về việc lộ thông tin về hành vi của mình.

Tuy nhiên, Google và Tencent có thể lưu lại địa chỉ IP của người dùng, cộng thêm một ít về hash nữa. Nếu có mục đích xấu, Google và Tencent có thể theo dõi một địa chỉ IP trong thời gian dài, từ đó biết được vị trí và hành vi của người dùng.

Safari trên iOS 13 của Apple thu thập và gửi dữ liệu người dùng cho Tencent

Thay vì gửi dữ liệu cho Google Safe Browsing như thường lệ, các nhà phát triển đã phát hiện ra trình duyệt Safari trên iOS 13 (và có thể là cả iOS 12.2 trở lên), đã gửi dữ liệu tới Tencent Safe Browseing tại Trung Quốc.

Tuy nhiên, hiện vẫn chưa rõ chỉ người dùng tại Trung Quốc hay cả những người dùng ở các quốc gia khác cũng bị Tencent thu thập dữ liệu.

Từ trước tới nay, trình duyệt Safari của Apple vẫn gửi dữ liệu tới Google Safe Browsing để hệ thống chống lừa đảo của họ bảo vệ người dùng tránh khỏi những trang web lừa đảo. Nhưng khi mà cả gã khổng lồ Internet Trung Quốc – Tencent cũng có thể truy cập dữ liệu duyệt web của người dùng thì nhiều người không khỏi lo lắng về việc Tencent có thể làm gì với những dữ liệu này. Họ lo ngại rằng các dữ liệu này có thể được sử dụng cho nhiều mục đích giám sát khác bởi Tencent và Chính phủ Trung Quốc thường xuyên hợp tác với nhau.

Hiện tại, Apple vẫn chưa có bất kỳ bình luận nào về vấn đề này.

Apple kích hoạt mặc định tính năng Fraudulent Website Warning (cảnh báo website lừa đảo) mà không thông báo cho người dùng biết đồng thời cũng không thông báo rõ dữ liệu nào được gửi cho Tencent và gã khổng lồ Internet Trung Quốc này được phép thu thập dữ liệu ở những khu vực nào.

Người dùng có thể truy cập vào Settings của Safari để tắt tính năng Fraudulent Website Warning.

Việc Apple hợp tác với Tencent là điều khiến nhiều người không khỏi bất ngờ, có thể nó liên quan tới các chính sách của chính phủ Trung Quốc.

Nguồn quantrimang.com

iOS 13 dính lỗi bảo mật

Trong đoạn video được Rodriguez đăng lên YouTube, anh ta có thể truy cập danh bạ trong máy mà không cần mở khóa bằng cách thực hiện cuộc gọi FaceTime, sau đó bật tính năng VoiceOver thông qua Siri. Những liên lạc trong máy sẽ xuất hiện nếu người dùng gõ ký tự bất kỳ vào ô người nhận tin nhắn.

Nếu rơi vào tay kẻ xấu, chúng có thể lập danh sách người quen của bạn với số điện thoại, email, kể cả địa chỉ nhà mà không cần mở khóa thiết bị.

Trên iPhone, VoiceOver cho phép Siri đọc nội dung hiển thị trên màn hình iPhone cho những người mù hoặc thị lực kém.

Để thực hiện hành động này, kẻ xấu cần giữ thiết bị trong tay, đồng thời cần một thiết bị Apple khác để gọi FaceTime đến mục tiêu.

Theo PhoneArena, Rodriguez đã gửi video mô tả lỗ hổng cho Apple từ 17/7 nhưng nó vẫn tồn tại trong phiên bản Gold Master (GM) sẽ phát hành cho người dùng trong tuần tới.

Năm ngoái, Rodriguez đã báo cáo lỗ hổng cho phép truy cập danh bạ (có kèm avatar) mà không cần mở khóa máy trên iOS 12.1. Apple sau đó đã nhanh chóng vá lỗi.

Nguồn vnreview.vn