• Báo cáo lỗi bảo mật
• Phiên bản được hỗ trợ
• Phạm vi bảo mật
• Mức độ nghiêm trọng
• Thực hành bảo mật
• Hall of Fame

KHÔNG BAO GIỜ tạo public issue trên GitHub cho các lỗ hổng bảo mật. Điều này có thể gây nguy hiểm cho người dùng khác trước khi bản vá được phát hành.

Email: phamhungtien.contact@gmail.com Subject: [SECURITY] Báo cáo lỗ hổng bảo mật - [Tóm tắt ngắn gọn]

Để giúp chúng tôi hiểu và xử lý nhanh chóng, vui lòng bao gồm:

1. Mô tả lỗ hổng
   - Loại lỗ hổng (RCE, privilege escalation, data leak, etc.)
   - Tác động thực tế và tiềm ẩn

2. Các bước tái hiện (PoC)
   - Bước 1, 2, 3...
   - Screenshot hoặc video demo (nếu có)
   - Code mẫu để tái hiện

3. Môi trường
   - Phiên bản PHTV: (vd: 1.6.9)
   - macOS version: (vd: Sequoia 15.2)
   - Architecture: (Intel/Apple Silicon)

4. Cách phát hiện
   - Bạn tìm thấy lỗ hổng như thế nào?
   - Tools sử dụng (nếu có)

5. Đề xuất khắc phục (optional)
   - Nếu bạn có ý tưởng về cách sửa

Lưu ý: Timeline có thể thay đổi tùy thuộc vào mức độ nghiêm trọng và độ phức tạp của lỗ hổng.

• ⏰ Cho chúng tôi ít nhất 90 ngày để khắc phục trước khi công bố công khai
• 🤐 Giữ bí mật về lỗ hổng cho đến khi bản vá được phát hành
• 🚫 Không khai thác lỗ hổng cho mục đích xấu
• 🚫 Không tiết lộ cho bên thứ ba mà không có sự đồng ý

• ✅ Xử lý báo cáo một cách nghiêm túc và ưu tiên
• ✅ Cập nhật tiến độ thường xuyên
• ✅ Ghi nhận công lao của bạn (nếu bạn muốn)
• ✅ Không có hành động pháp lý đối với các nhà nghiên cứu bảo mật thiện chí

Chúng tôi khuyến nghị luôn sử dụng phiên bản mới nhất để có bảo mật tốt nhất.

• Mỗi phiên bản major được hỗ trợ ít nhất 12 tháng sau khi phiên bản major tiếp theo được phát hành
• Các phiên bản minor trong major hiện tại được hỗ trợ 6 tháng
• Chúng tôi sẽ thông báo 3 tháng trước khi EOL một phiên bản

Chúng tôi quan tâm đến các lỗ hổng bảo mật liên quan đến:

• Accessibility API abuse: Lạm dụng quyền Accessibility để truy cập dữ liệu không được phép
• Privilege escalation: Nâng quyền truy cập không hợp lệ
• Code injection: Inject code độc hại thông qua macro hoặc configuration
• Data leakage: Rò rỉ dữ liệu nhạy cảm (keystrokes, clipboard, etc.)
• Authentication bypass: Bỏ qua xác thực trong tính năng bảo mật
• Malicious macro execution: Thực thi macro độc hại mà không có sự đồng ý
• Configuration tampering: Thay đổi cấu hình trái phép
• Path traversal: Truy cập file ngoài phạm vi cho phép
• Memory corruption: Lỗi tràn bộ nhớ, use-after-free, etc.

Các vấn đề sau không được coi là lỗ hổng bảo mật:

• Social engineering: Lừa đảo người dùng cài đặt phần mềm độc hại
• Physical access attacks: Tấn công yêu cầu truy cập vật lý vào máy
• Denial of Service (DoS): Làm crash hoặc làm chậm ứng dụng
• Outdated dependencies: Nếu không có bằng chứng khai thác thực tế
• UI/UX issues: Lỗi giao diện không ảnh hưởng bảo mật
• Feature requests: Đề xuất tính năng mới
• Accessibility permission requirement: PHTV cần quyền này để hoạt động

Chúng tôi sử dụng hệ thống CVSS 3.1 để đánh giá mức độ nghiêm trọng.

Response time: < 24 giờ | Patch target: 1-3 ngày

• Remote Code Execution (RCE) không cần tương tác người dùng
• Elevation of privilege lên root/admin
• Rò rỉ thông tin xác thực hệ thống
• Bypass hoàn toàn cơ chế bảo mật

Ví dụ:

• Macro có thể thực thi arbitrary code với quyền system
• Đọc được file của user khác trên macOS
• Bypass SIP (System Integrity Protection)

Response time: < 48 giờ | Patch target: 3-7 ngày

• RCE cần tương tác người dùng tối thiểu
• Privilege escalation trong phạm vi user hiện tại
• Rò rỉ dữ liệu nhạy cảm (passwords, keys)
• Authentication bypass

Ví dụ:

• Macro độc hại có thể đánh cắp clipboard data
• Bypass whitelist/blacklist app
• Truy cập unauthorized vào keychain

Response time: < 7 ngày | Patch target: 14-30 ngày

• Information disclosure không nghiêm trọng
• CSRF trên local endpoints
• Logic flaws có thể bị lạm dụng
• Weak cryptography

Ví dụ:

• Lưu trữ config không mã hóa (nhưng không chứa thông tin nhạy cảm)
• Race conditions có thể gây hành vi không mong muốn
• Path traversal giới hạn

Response time: < 14 ngày | Patch target: Next release

• Minor information disclosure
• Issues yêu cầu nhiều điều kiện tiên quyết
• Security hardening opportunities

Ví dụ:

• Version disclosure
• Verbose error messages
• Missing security headers (nếu có web component)

Giúp bảo vệ bản thân bằng cách tuân theo các best practices:

• ✅ Luôn dùng phiên bản mới nhất: Cài đặt updates ngay khi có
• ✅ Bật auto-update: Nếu có tính năng này
• ✅ Theo dõi GitHub releases: Để biết các bản vá bảo mật

• ✅ Chỉ cấp quyền cần thiết: PHTV chỉ cần Accessibility permission
• ✅ Review permissions định kỳ: Kiểm tra System Preferences > Security & Privacy
• ⚠️ Không chia sẻ quyền admin: Không chạy PHTV với sudo

• ✅ Excluded Apps cho ứng dụng nhạy cảm:
  • Banking apps
  • Password managers (1Password, LastPass, etc.)
  • Crypto wallets
  • VPN clients
• ✅ Kiểm tra macro: Review macro trước khi import từ nguồn không tin cậy
• ✅ Backup config: Sao lưu cấu hình trước khi update major version

Liên hệ ngay nếu bạn phát hiện:

• Hành vi lạ của PHTV (ghi file không mong muốn, network requests)
• Crash thường xuyên sau khi update
• Macro tự thêm vào mà bạn không biết

Các biện pháp bảo mật chúng tôi áp dụng:

• ✅ Mandatory code review: Mọi PR đều cần review trước merge
• ✅ Branch protection: Main branch được bảo vệ, không push trực tiếp
• ✅ Signed commits: Khuyến khích GPG signing
• ✅ Least privilege principle: Code chỉ yêu cầu quyền tối thiểu cần thiết

• ✅ Dependency scanning: Kiểm tra thư viện bên thứ ba
• ✅ SAST (Static Analysis): Phân tích code tĩnh
• ✅ Hardening: Compiler flags bảo mật (-fstack-protector, -D_FORTIFY_SOURCE)

• ✅ Code signing: Tất cả builds đều được sign với Developer ID
• ✅ Notarization: Ứng dụng được notarize bởi Apple
• ✅ Reproducible builds: Build process minh bạch
• ✅ SBOM: Software Bill of Materials cho dependency tracking

• ✅ Không thu thập dữ liệu cá nhân: PHTV không gửi keystrokes đi đâu cả
• ✅ Local-only storage: Tất cả config lưu local
• ✅ Secure defaults: Cấu hình mặc định ưu tiên bảo mật
• ✅ Input validation: Validate tất cả input từ user và file

Khi một lỗ hổng được vá xong và sẵn sàng công bố, chúng tôi sẽ:

1. ✅ Release bản vá: Phát hành phiên bản mới với fix
2. ✅ Security Advisory: Tạo GitHub Security Advisory
3. ✅ Release Notes: Cập nhật chi tiết trong GitHub Releases
4. ✅ CHANGELOG: Ghi rõ trong CHANGELOG.md
5. ✅ Thông báo người dùng: Qua channels chính thức (nếu có)
6. ✅ CVE: Request CVE ID cho lỗi nghiêm trọng

## Security Advisory: [Severity] - [Vulnerability Name]

**CVE ID**: CVE-YYYY-XXXXX (nếu có)
**Affected Versions**: 1.0.0 - 1.6.8
**Fixed in Version**: 1.6.9
**Severity**: Critical/High/Medium/Low
**CVSS Score**: X.X

### Description
[Mô tả chi tiết lỗ hổng]

### Impact
[Ai bị ảnh hưởng? Hậu quả gì?]

### Mitigation
- Nâng cấp lên phiên bản 1.6.9 trở lên
- [Các biện pháp tạm thời nếu không thể update]

### Credits
Cảm ơn [Researcher Name] đã báo cáo lỗ hổng này.

### Timeline
- YYYY-MM-DD: Nhận báo cáo
- YYYY-MM-DD: Xác nhận lỗ hổng
- YYYY-MM-DD: Phát triển bản vá
- YYYY-MM-DD: Release bản vá
- YYYY-MM-DD: Public disclosure

Chúng tôi ghi nhận những nhà nghiên cứu bảo mật đã giúp PHTV an toàn hơn:

Chưa có báo cáo nào được ghi nhận trong năm 2026.

Chưa có báo cáo nào được ghi nhận trong năm 2025.

Bạn muốn được ghi nhận? Báo cáo lỗ hổng bảo mật cho chúng tôi!

• Email: phamhungtien.contact@gmail.com
• Subject line: Bắt đầu với [SECURITY]

• Issues: GitHub Issues
• Discussions: GitHub Discussions