Phát hiện 6 lỗ hổng bảo mật trong iOS, 1 lỗi vẫn chưa được vá

Các nhà nghiên cứu thuộc đội ngũ "săn lỗi" Project Zero của Google vừa phát hiện 6 lỗ hổng bảo mật nghiêm trọng trên iOS có thể giúp kẻ xấu chiếm quyền điều khiển thiết bị.

Rất may khi trong số này, 5 lỗ hổng đã được Apple khắc phục trong bản cập nhật iOS 12.4, tuy nhiên vẫn còn 1 lỗ hổng chưa được vá.

Theo 9to5mac, Google đã gửi thông báo đến Apple mô tả cách thức khai thác lỗ hổng. 2 thành viên thuộc Project Zero cũng chia sẻ với ZDNet chi tiết về 5 trong số 6 lỗi này.

Cụ thể, tất cả chúng đều là lỗ hổng dạng "không tương tác" (interactionless) và được thực hiện thông qua ứng dụng nhắn tin iMessage.

Kẻ xấu sẽ gửi một tin nhắn không đúng định dạng đến thiết bị, mã độc sẽ thực thi khi người dùng mở và xem nội dung bên trong. 4 trong số 6 lỗ hổng sẽ ngay lập tức thực thi mã độc khi người dùng mở tin nhắn mà không cần làm gì thêm, 2 lỗ hổng còn lại cho phép hacker lấy dữ liệu từ bộ nhớ máy rồi xem trên một thiết bị từ xa.

Chi tiết hơn về lỗ hổng thứ 6 không được tiết lộ do vẫn chưa được vá hoàn toàn. 5 lỗ hổng còn lại sẽ được công bố chi tiết tại hội nghị Black Hat diễn ra tuần sau tại Las Vegas (Mỹ).

Những lỗ hổng "không tương tác" kiểu này vô cùng nguy hiểm. Trong khi đa số lỗ hổng trên iOS "dụ" người dùng mở một ứng dụng hay đăng nhập Apple ID, các lỗ hổng "không tương tác" chỉ cần mở một tin nhắn SMS, MMS, iMessage, Mail hay thậm chí là thư thoại cũng có thể kích hoạt mã độc.

Trên thị trường chợ đen, những phát hiện này có thể giúp nhà nghiên cứu kiếm bộn tiền khi các tập đoàn và chính phủ rất muốn mua chúng. Theo Zerodium, mức giá có thể lên đến 1 triệu USD, thậm chí là 5 triệu hay 10 triệu USD.

Người dùng iOS nên nhanh chóng cập nhật lên iOS 12.4, phiên bản đã vá hoàn toàn 5 trong số 6 lỗ hổng để tránh những trường hợp đáng tiếc có thể xảy ra.

Phúc Thịnh