Trong tuyên bố chính thức, Apple cho biết sau khi điều tra kỹ những thông tin có được, hãng tìm thấy 3 vấn đề trong ứng dụng Mail, nhưng một mình chúng không đủ vượt qua lớp bảo mật của iOS, đồng thời không tìm thấy bằng chứng về việc lỗ hổng bị khai thác để tấn công người dùng.
Theo Vice, Apple cũng xác nhận bản cập nhật iOS 13.4.5 sắp phát hành sẽ vá lỗ hổng này. Phản hồi Apple, đại diện ZecOps (hãng bảo mật phát hiện lỗ hổng) cho biết họ đã tìm ra bằng chứng lỗi này tấn công vào một số tổ chức và sẽ công bố sau khi Apple tung bản vá.
Lỗ hổng bảo mật iOS tồn tại suốt 8 năm có thể kích hoạt thông qua ứng dụng Mail. Ảnh: 9to5mac. |
Cách kích hoạt lỗi rất đơn giản
Trước đó vào ngày 20/4, ZecOps đã đăng bài viết mô tả lỗ hổng nghiêm trọng có thể khiến iPhone bị tin tặc tấn công bằng ứng dụng Mail cài sẵn trên iOS.
ZecOps khẳng định lỗ hổng này tồn tại ít nhất từ nền tảng iOS 6 phát hành năm 2012, quan trọng hơn là nó không được Apple vá trong nhiều năm liền.
Hiện có hơn 1,5 tỷ iPhone được kích hoạt, chỉ có iPhone đầu tiên và iPhone 3G không được cập nhật iOS 6. Điều đó nghĩa là rất nhiều iPhone trên thế giới có nguy cơ bị tấn công bởi lỗ hổng này.
Để tấn công iPhone, tin tặc chỉ cần gửi email độc hại khiến ứng dụng Mail bị "sập" và ngừng hoạt động. Cách thực hiện chi tiết không được tiết lộ, song phương pháp tấn công đơn giản cho thấy tin tặc có thể sử dụng chúng cho nhiều mục đích khác nhau.
Đáng chú ý khi phiên bản iOS 13 mới lại dễ bị tấn công hơn. Nếu trên iOS 12, người dùng cần mở email để kích hoạt lỗi thì trên iOS 13, lỗi sẽ được kích hoạt ngay cả khi ứng dụng Mail đang trong trạng thái chạy nền.
Mô tả lỗ hổng trên iOS tấn công qua ứng dụng Mail. Ảnh: ZecOps. |
Người dùng có nên lo lắng?
Theo Forbes, lỗ hổng cho phép tin tặc truy cập những thông tin nhạy cảm trên điện thoại từ xa nếu người dùng không cập nhật bản iOS mới nhất. Tất cả dữ liệu mà Mail được cấp quyền truy cập đều có thể bị đánh cắp bao gồm ảnh chụp, danh bạ và các email riêng tư.
Lỗ hổng được ZecOps phát hiện cuối năm 2019 khi họ điều tra một vụ tấn công mạng vào khách hàng của công ty này. Zuk Avraham, CEO của ZecOps cho biết ông có bằng chứng lỗ hổng đã được tận dụng trong ít nhất 6 vụ tấn công an ninh mạng, Reuters đưa tin.
Avraham tin những vụ tấn công này diễn ra từ tháng 1/2018 nhưng không thể tìm được kẻ tấn công. Theo dữ liệu nghiên cứu, ít nhất 6 mục tiêu bị ảnh hưởng bởi lỗ hổng này.
Có thể lỗi này không thực sự nghiêm trọng với người dùng, song những ai thường xuyên nhận những công việc quan trọng qua email, hãy cập nhật iOS 13.4.5 ngay khi được phát hành để đảm bản an toàn.
Trong thời gian này, Avraham khuyên mọi người tạm thời ngừng sử dụng Mail, thay bằng các dịch vụ như Outlook hay Gmail. Anh cũng cảnh báo do sắp được vá sau nhiều năm, tin tặc sẽ cố gắng thu thập nhiều thông tin nhất có thể.
Lỗi bảo mật trên iOS không phải chuyện hiếm. Ảnh: GSMArena. |
Đây không phải lỗi bảo mật duy nhất trên thiết bị Apple được phát hiện gần đây. Ngày 23/4, nhiều nguồn tin khác nhau đồng loạt cảnh báo tình trạng iPhone, iPad, Apple Watch, MacBook bị treo máy sau khi mở tin nhắn có chứa ký tự ngôn ngữ Sindhi và biểu tượng cờ Italy.
Khi nhận được chuỗi văn bản trên iPhone, người dùng không thể điều hướng trở lại màn hình chính hoặc tắt thiết bị của mình. Vấn đề sẽ tự giải quyết sau một thời gian hoặc người dùng khởi động lại máy bằng phím cứng.
Dù được xem là nền tảng rất bảo mật, iOS vẫn có thể bị tin tặc xâm nhập và tấn công. Người dùng không nên nhấn vào đường link lạ, chú ý các nội dung tải về khi lượt web, cập nhật iOS mới nhất để đảm bảo an toàn trước mối đe dọa bảo mật.