VnReview
Hà Nội

Google công bố nhiều lỗ hổng zero-click, ảnh hưởng đến tất cả các thiết bị Apple

Năm ngoái, nhóm Project Zero của Google đã giúp Apple khắc phục một lỗ hổng quan trọng trên iPhone mà các tin tặc có thể khai thác. Giờ đây, nhóm này đã công bố thêm 6 lỗ hổng mới có trên các nền tảng của Apple.

Google công bố nhiều lỗ hổng zero-click, ảnh hưởng đến tất cả các thiết bị Apple

Các lỗ hổng mà nhóm Project Zero tìm thấy liên quan đến một framework có tên là ImageIO, xuất hiện trên tất cả các hệ thống của Apple, từ tvOS, watchOS cho đến iOS và macOS. Thế nên, gần như mọi thiết bị của Apple đều bị ảnh hưởng bởi các lỗ hổng này. Dẫu vậy, những lổ hổng an ninh mạng mới này đã được báo cáo và khắc phục bằng một đoạn mã phân tích hình ảnh. Nhưng lần này, nó liên quan đến các hình ảnh trong những ứng dụng nhắn tin phổ biến.

Vấn đề là lỗ hổng này không yêu cầu người dùng nhấp vào bất kỳ liên kết đáng ngờ nào hoặc bất kỳ thứ gì tương tự, đó là lý do tại sao nó được gọi là lỗ hổng "zero-click". Project Zero cho biết, họ đã thực hiện một kỹ thuật có tên là "fuzzing" – một phương pháp kiểm thử phần mềm – nhằm đưa các dữ liệu không hợp lệ, bất ngờ hoặc ngẫu nhiên vào framework ImageIO của Apple. Từ đó, nhóm phát hiện ra 6 lỗ hổng trong ImageIO và thêm 8 lỗ hổng trong một định dạng hình ảnh bên thứ 3, có tên là OpenEXR, được tiết lộ từ Apple ImageIO. Được biết, Apple đã khắc phục những lỗ hổng kể trên.

Lưu ý, các lỗ hổng này có thể truy cập thông qua những ứng dụng nhắn tin phổ biến nhưng không liên kết với mã nguồn của ứng dụng. Thế nên, nhóm này tuyên bố rằng Apple cần có trách nhiệm khắc phục nó, thay vì chỉ nhóm ứng dụng nhắn tin cá nhân.;

Samuel Groß, một nhà nghiên cứu trong nhóm Project Zero, đã đăng tải báo cáo và tuyên bố rằng, mặc dù tất cả các lỗi này đã được Apple khắc phục, thế nhưng, một số lỗ hổng bổ sung cùng loại vẫn có thể xuất hiện. Và nếu chịu khó, tin tặc có thể khai thác chúng dưới dạng các cuộc tấn công zero-click vào những thiết bị Apple.

Nhà nghiên cứu này khuyến cáo gã khổng lồ công nghệ có trụ sở tại Cupertino nên thực hiện nhiều "thử nghiệm fuzzing" hơn. Ngoài ra, ông cũng khuyên rằng Apple cần giảm các tấn công attack-surface vào các thư viện hệ điều hành của mình. Điều đó đồng nghĩa rằng họ nên cắt giảm số lượng định dạng file tương thích nhằm cải thiện bảo mật.

Minh Hùng theo Phone Arena

Chủ đề khác