Theo báo cáo từ Cisco Talos, một lỗ hổng nghiêm trọng trong các ứng dụng Microsoft trên macOS cho phép tin tặc có thể truy cập vào camera và microphone của người dùng để đánh cắp thông tin.
Một lỗ hổng bảo mật nghiêm trọng trong các ứng dụng Microsoft trên macOS đã được phát hiện, cho phép tin tặc truy cập trái phép vào camera và microphone của người dùng. Theo báo cáo từ Cisco Talos, các ứng dụng như Outlook, Teams, và OneNote có thể bị lợi dụng để ghi âm, chụp ảnh hoặc quay video mà không cần sự đồng ý của người dùng.
Vấn đề này bắt nguồn từ cách các ứng dụng Microsoft quản lý quyền truy cập vào các tài nguyên nhạy cảm của hệ thống. Những quyền này thường được kiểm soát bởi hệ thống TCC của macOS, hệ thống yêu cầu ứng dụng phải có sự đồng ý của người dùng trước khi truy cập vào camera, micro hoặc các tệp cá nhân. Tuy nhiên, một lỗ hổng cho phép tin tặc lợi dụng các quyền đã được cấp cho các ứng dụng Microsoft, từ đó chiếm quyền kiểm soát camera và microphone mà không cần thêm bất kỳ xác nhận nào khác từ người dùng.
Các nhà nghiên cứu đã xác định 8 lỗ hổng khác nhau trong các ứng dụng Microsoft trên macOS. Điều đáng chú ý là các ứng dụng này đã tắt tính năng kiểm tra thư viện (library validation), cho phép tin tặc chèn mã độc vào ứng dụng để lợi dụng các quyền đã được cấp.
Microsoft đã phát hành các bản cập nhật cho Teams và OneNote để khắc phục, nhưng các ứng dụng như Excel, PowerPoint và Outlook vẫn còn dễ bị tấn công. Dù Microsoft đánh giá vấn đề này này ở mức rủi ro thấp, nhưng các chuyên gia bảo mật cảnh báo rằng việc không vá lỗi có thể dẫn đến rủi ro tiềm tàng về gián điệp và đánh cắp dữ liệu. Người dùng được khuyến cáo là nên cập nhật thường xuyên các ứng dụng để cập nhật bảo mật, đảm bảo an toàn cho bản thân. Đồng thời các nhà phát triển cũng cần xem xét kỹ lưỡng các quyền truy cập để tránh bị lợi dụng.
