Lỗi bảo mật trên iPhone, iPad cho phép tin tặc đánh cắp dữ liệu trong nhiều năm

Hoàng Linh| 23/04/2020 15:10
Theo dõi ICTVietnam trên

Apple đang lên kế hoạch sửa một lỗ hổng bảo mật mà có thể đã khiến hơn nửa tỷ chiếc iPhone đứng trước nguy cơ bị tin tặc tấn công.

Lỗi bảo mật trên iPhone, iPad cho phép tin tặc đánh cắp dữ liệu trong nhiều năm - Ảnh 1.

Lỗi này cũng tồn tại trên iPad và được ZecOps, một công ty điều tra bảo mật di động có trụ sở tại San Francisco, phát hiện khi đang điều tra một cuộc tấn công mạng tinh vi nhắm vào một khách hàng hồi cuối năm 2019.

Zuk Avraham, CEO của ZecOps, cho biết ông đã tìm thấy bằng chứng lỗ hổng này được khai thác trong ít nhất 6 vụ xâm nhập bảo mật mạng.

Phát ngôn viên của Apple cho biết tồn tại một lỗ hổng trong ứng dụng Mail trên các thiết bị iPhone và iPad. Công ty đã phát triển một bản vá lỗi và sẽ được tung ra trong bản cập nhật sắp tới.

Apple từ chối bình luận về nghiên cứu vừa được Avraham công bố. Ông cho biết lỗ hổng này có thể được kích hoạt từ xa và đã bị tin các tặc khai thác để tấn công người dùng cao cấp.

Theo Avraham, đã tìm thấy bằng chứng cho thấy một chương trình độc hại đã lợi dụng lỗ hổng này trên hệ điều hành di động iOS của Apple từ tháng 1/2018. Ông chưa thể xác định tin tặc là ai.

Để thực hiện vụ vụ tấn công, Avraham cho biết các nạn nhân sẽ được gửi một tin nhắn email rỗng thông qua ứng dụng Mail đã bị đánh sập và phải cài đặt lại. Vụ việc đã mở ra cơ hội cho tin tặc đánh cắp dữ liệu khác trên thiết bị, chẳng hạn như ảnh và các thông tin liên hệ.

ZecOps tuyên bố lỗ hổng này đã cho phép tin tặc đánh cắp dữ liệu khỏi iPhone từ xa ngay cả khi các iPhone đang chạy các phiên bản iOS cập nhật mới. Chính lỗ hổng này có thể đã cho phép truy cập vào bất cứ thứ gì mà ứng dụng Mail có quyền truy cập, bao gồm cả tin nhắn bí mật.

Avraham nghi ngờ rằng kỹ thuật tấn công này là một phần của chuỗi các chương trình độc hại, có thể cho phép kẻ tấn công truy cập từ xa.

ZecOps phát hiện kỹ thuật tấn công ứng dụng Mail đã được sử dụng để chống lại một khách hàng vào năm ngoái. Avraham mô tả khách hàng được nhắm mục tiêu này là một công ty công nghệ Bắc Mỹ thuộc danh sách Fortune 500, nhưng từ chối nêu tên công ty này. ZecOps cũng tìm thấy bằng chứng về các cuộc tấn công liên quan nhắm vào các nhân viên của 5 công ty khác ở Nhật Bản, Đức, Ả Rập Saudi và Israel.

Hai nhà nghiên cứu bảo mật độc lập Patrick Wardle và Bill Marczak đã xem xét phát hiện của ZecOps và tìm thấy bằng chứng tin cậy, nhưng cho biết họ chưa tạo lập lại đầy đủ các phát hiện lỗi. Patrick Wardle là chuyên gia bảo mật của Apple và từng là nhà nghiên cứu của Cơ quan An ninh Quốc gia Hoa Kỳ (NSA). Bill Marczak, một nhà nghiên cứu bảo mật cùng với Citizen Lab, một nhóm nghiên cứu bảo mật có trụ sở tại Canada, đã gọi việc phát hiện lỗ hổng này là đáng lo ngại.

Mặc dù Apple phần lớn được ngành an ninh mạng đánh giá là có tiêu chuẩn cao về bảo mật kỹ thuật số, nhưng bất kỳ sự cố tấn công thành công nào đều có thể ảnh hưởng đến hàng triệu người dùng iPhone do sự phổ biến toàn cầu của thiết bị này. Năm 2019, Apple cho biết có khoảng 900 triệu chiếc iPhone đang hoạt động.

Nổi bật Tạp chí Thông tin & Truyền thông
Đừng bỏ lỡ
  • Bộ TT&TT bổ nhiệm một Phó Giáo sư giữ chức Phó Vụ trưởng Vụ HTQT
    PGS. TS. Hoàng Hữu Hạnh, Giám đốc Trung tâm đào tạo quốc tế kiêm phụ trách khoa Đa phương tiện, Học viện Công nghệ Bưu chính Viễn thông được bổ nhiệm giữ chức Phó Vụ trưởng Vụ HTQT, Bộ TT&TT.
  • Người dùng có thể đo tốc độ truy cập Internet Việt Nam tự động
    Hệ thống đo tốc độ truy cập Internet Việt Nam i-Speed vừa được nâng cấp, bao gồm: nâng cấp phiên bản mới (phiên bản 4.0, bản dành cho hệ điều hành Android) cho ứng dụng i-Speed và nâng cấp hệ thống thống kê, chia sẻ, cung cấp số liệu đánh giá tốc độ truy cập Internet Việt Nam.
  • Sự cố CrowdStrike ảnh hưởng đến 49 triệu người, gây thiệt hại 1,4 tỷ USD
    Thiệt hại ban đầu từ sự cố ngừng hoạt động công nghệ toàn cầu ngày 19/7 được các nhà phân tích thị trường ước tính lên tới hơn 1,4 tỷ USD, với hơn 49 triệu người bị ảnh hưởng.
  • Lưu trữ: người hùng thầm lặng của việc triển khai AI
    Nhiều doanh nghiệp (DN) chỉ tập trung vào sức mạnh tính toán và mạng khi triển khai các dự án trí tuệ nhân tạo (AI). Nhưng họ có thể đang bỏ qua bức tranh toàn cảnh về nhu cầu lưu trữ lớn của mình.
  • Lỗ hổng bảo mật của SAP đặt ra câu hỏi về sự vội vàng trong AI
    Công ty bảo mật đám mây Wiz đã công bố một báo cáo chi tiết về các lỗ hổng bảo mật của SAP, hiện đã được vá, đặt ra những câu hỏi đáng báo động về vai trò thứ yếu của trí tuệ nhân tạo (AI) trong phòng thủ an ninh mạng.
  • Tình cảm đặc biệt của Tổng Bí thư Nguyễn Phú Trọng dành cho "quê hương Kinh Bắc - Bắc Ninh"
    Trên cương vị người đứng đầu Đảng ta, Tổng Bí thư Nguyễn Phú Trọng đã 5 lần về thăm, làm việc với Bắc Ninh. Đối với vùng quê Kinh Bắc, Tổng Bí thư luôn dành một tình cảm đặc biệt. Trong nhiều bài phát biểu, nói chuyện, Tổng Bí thư Nguyễn Phú Trọng vẫn nhận mình là người Bắc Ninh. Những ý tứ "Bắc Ninh quê tôi", "Quan họ quê tôi"... cũng được Tổng Bí thư nhắc đến nhiều lần trong bài kết luận sâu sắc tại Hội nghị Văn hóa toàn quốc năm 2021.
  • Cha mẹ hiểu biết để bảo vệ trẻ em trên không gian mạng
    Các chủ đề bảo mật, an toàn mạng trên quy mô toàn cầu là một phần công việc và dịch vụ hàng ngày mà các công ty viễn thông cung cấp cho người dùng. Mặc dù Internet đại diện cho một nguồn khả năng vô tận, nhưng bên cạnh những mặt tích cực, các công nghệ mới cũng ẩn chứa rất nhiều rủi ro nếu chúng được sử dụng một cách liều lĩnh và chúng ta không nhận thức được những rủi ro này. Đó là lý do tại sao phải nâng cao nhận thức cho người dùng, đặc biệt là những người trẻ tuổi nhất biết bảo vệ bản thân trong môi trường ảo.
  • Tổng Bí thư Nguyễn Phú Trọng dành sự quan tâm đặc biệt cho việc xây dựng nền báo chí cách mạng
    Đồng chí Nguyễn Phú Trọng bắt đầu sự nghiệp bằng nghề báo. Ông trải qua các vị trí công tác ở Tạp chí Học tập, nay là Tạp chí Cộng sản từ cán bộ tư liệu, biên tập viên, Trưởng ban, Phó Tổng Biên tập đến Tổng Biên tập. Là một nhà báo, ông còn tham gia giảng dạy, đào tạo đội ngũ người làm báo Việt Nam tại Học viện Báo chí-Tuyên truyền.
  • 7 bài học rút ra từ sự cố CrowdStrike
    Sự cố CrowdStrike xảy ra mới đây là một lời cảnh tỉnh cho các công ty, chính phủ và ngành công nghệ. Và các đội ngũ CNTT có thể học được điều gì từ thảm họa cập nhật phần mềm đã gây chấn động này?
  • Nền tảng số Việt Nam hiện diện trên bản đồ AI thế giới
    Nền tảng nhận diện hình ảnh bằng trí tuệ nhân tạo VNPT SmartVision giành thắng lợi toàn diện tại đấu trường AI City Challenge 2024, uy tín thế giới và qua đây khẳng định mạnh mẽ cho trí tuệ Việt Nam đang vươn tầm thế giới.
Lỗi bảo mật trên iPhone, iPad cho phép tin tặc đánh cắp dữ liệu trong nhiều năm
POWERED BY ONECMS - A PRODUCT OF NEKO