Lỗ hổng mới của iOS: chỉ cần gửi email, không mở cũng bị tấn công
Một lỗ hổng bảo mật trên iOS vừa được phát hiện. Chỉ cần hacker gửi email, thậm chí bạn không mở email cũng sẽ bị hacker xâm nhập điện thoại.
Ứng dụng email mặc định được cài đặt sẵn trên hàng triệu chiếc iPhone và iPad hiện có 2 lỗ hổng nghiêm trọng mà hacker có thể lợi dụng để chiếm quyền kiểm soát các thiết bị từ xa bằng việc gửi email đến người dùng.
Các nhà nghiên cứu an ninh mạng tại ZecOps cho biết các lỗ hổng nói trên xuất phát từ vấn đề ghi tràn (out-of-bound write) và tràn bộ nhớ từ xa (remote heap overflow). Một trong những lỗ hổng bảo mật nghiêm trọng trong số những lỗi liên quân là lỗi “zero-click” cực kỳ nguy hiểm. Những lỗi này đã tồn tại kể từ khi iOS 6 ra mắt và ảnh hưởng đến cả iOS 13.4.1 mới nhất.
Mặc dù cả hai lỗ hổng đều được kích hoạt trong khi xử lý nội dung của email, lỗ hổng thứ nhất nguy hiểm hơn vì nó có thể bị khai thác với ‘zero-click’, nghĩa là không yêu cầu tương tác từ người nhận được hacker nhắm là mục tiêu.
Đáng lo ngại hơn nữa là một số nhóm hacker đã và đang tận dụng các lỗi này trong 2 năm qua để nhắm vào những người dùng cá nhân làm việc trên nhiều lĩnh vực và trong các tổ chức khác nhau.
Theo các nhà nghiên cứu, rất khó để người dùng Apple biết được liệu họ đã từng bị nhắm đến bởi các cuộc tấn công mạng kia hay chưa, bởi các hacker đã xóa ngay email độc hại sau khi nắm được quyền truy xuất từ xa vào thiết bị của nạn nhân. Sau khi lợi dụng lỗ hổng thành công, hacker sẽ chạy một đoạn mã độc cùng với ứng dụng MobileMail hoặc Maild, cho phép chúng chỉnh sửa và xóa phần email đã được gửi. Tuy nhiên, để nắm quyền điều khiển hoàn toàn thiết bị từ xa, hacker cần kết hợp nó với một lỗ hổng bảo mật khác trong nhân hệ thống.
ZecOps phát hiện ra những lỗ hổng và các cuộc tấn công nói trên từ gần 2 tháng trước và đã báo cáo với nhóm bảo mật của Apple. Hiện tại chỉ có phiên bản iOS 13.4.5 beta vừa được tung ra hồi tuần trước là có chứa các bản vá bảo mật khác phục lỗ hổng zero-day này.
Đối với người dùng iPhone và iPad nói chung, họ sẽ sớm nhận được một bản vá phần mềm trong phiên bản cập nhật iOS sắp tới. Nhưng trong quá trình chờ đợi, tốt nhất bạn không nên sử dụng ứng dụng email tích hợp sẵn nữa, thay vào đó hãy sử dụng Outlook hoặc Gmail.
THEO DÕI CÁC KÊNH CỦA TEKCAFE
- Website: TekCafe.vn
- Fanpage Facebook: facebook.com/tekcafeteam
- YouTube: youtube.com/c/TekCafeTeam
BÀI VIẾT MỚI NHẤT
- XIAOMI CHÍNH THỨC CÔNG BỐ KẾT QUẢ KIỂM TOÁN NĂM 2023
- Xiaomi Watch S3 chính thức ra mắt: Hỗ trợ thay đổi vòng khung viền, thiết kế thời thượng, pin lên đến 15 ngày, giá chỉ từ 3,69 triệu đồng
- ROG Zephyrus G14/ G16 – Bộ đôi laptop gaming ROG Nebula OLED mạnh nhất thế giới
- Xiaomi Smart Band 8 Pro ra mắt với hệ thống định vị toàn cầu độc lập, kế thừa danh hiệu vòng đeo tay thông minh quốc dân
- Xiaomi ra mắt Xiaomi 14: cụm camera Leica trứ danh, kích thước nhỏ gọn cùng nhiều tính năng cao cấp toàn diện