Các chuyên gia mạng cho rằng, ít nhất 6 nạn nhân cấp cao đã bị nhắm mục tiêu và hàng triệu người khác cũng có thể gặp lỗi tương tự. Lỗi này được cho là đã xuất hiện trong các phiên bản iPhone bắt đầu từ iOS 6, ra mắt vào năm 2012.
Các chuyên gia tại ZecOps cho biết, lỗ hổng này ảnh hưởng đến Email - ứng dụng Email riêng của Apple được cài đặt trên tất cả các mẫu iPhone theo mặc định.
Lỗi này được gọi là một cuộc tấn công "không nhấp chuột" bởi vì nạn nhân có thể bị hack chỉ bằng cách mở một Email. Khi một thiết bị bị xâm nhập, tin tặc có thể xóa Email vi phạm, tức là chúng đã xóa sạch bằng chứng chính của vụ tấn công.
Cuộc tấn công cho phép tin tặc đọc, chỉnh sửa và xóa bất kỳ Email nào trong ứng dụng Mail. Người dùng thậm chí có thể không biết bản thân đã trở thành nạn nhân của một vụ tấn công mạng.
Cuộc tấn công mạng nhắm vào ứng dụng Email trên iPhone hoặc iPad có thể đánh cắp thông tin mà không để lại dấu vết nào. (Ảnh minh họa) |
Thông báo Email có thể xuất hiện trống, nhưng lại chứa mã bí mật được thiết kế để thâm nhập vào hệ thống. Email này sẽ đánh sập ứng dụng Mail, cho phép tin tặc truy cập vào iPhone trong quá trình khởi động lại.
Người dùng sẽ không cần phải truy cập bất kỳ trang web, tải xuống bất kỳ tệp đính kèm giả mạo hoặc nhấp vào bất kỳ liên kết nào, điều này làm cho cuộc tấn công mạng này rất khó tránh.
Bên cạnh sự chậm chạp tạm thời của ứng dụng Email trên thiết bị di động, người dùng không nên bỏ qua bất kỳ dấu hiệu bất thường nào khác. Khi cập nhật thất bại trên iOS 12 người dùng có thể nhận thấy sự cố đột ngột của ứng dụng Mail. Trên iOS13, bên cạnh sự chậm lại tạm thời, nó sẽ không được chú ý.
Các cuộc tấn công thất bại sẽ không được chú ý trên iOS 13 nếu một cuộc tấn công khác được thực hiện sau đó và xóa Email. Trong đó, các Email sẽ được gửi bởi kẻ tấn công sẽ hiển thị thông báo 'This message has no content' - 'Tin nhắn này không có nội dung', ZecOps giải thích.
Theo ZecOps, Apple đã không biết về lỗi này cho đến khi được các nhà nghiên cứu cảnh báo. Lỗi này được cho là vẫn tồn tại đến bản cập nhật mới nhất cho iOS 13, nhưng đã được sửa trong phiên bản thử nghiệm beta của phần mềm.
Các chuyên gia mạng cảnh báo rằng lỗi này đã được sử dụng để nhắm mục tiêu vào một công ty Fortune 500 ở Mỹ, cũng như các nhà báo và nhân viên công nghệ.
Trong một tuyên bố, một phát ngôn viên của Apple cho biết: "Apple coi trọng tất cả các báo cáo về các mối đe dọa bảo mật. Chúng tôi đã điều tra kỹ lưỡng báo cáo của nhà nghiên cứu và dựa trên thông tin được cung cấp đã kết luận những vấn đề này không gây rủi ro ngay lập tức cho người dùng của chúng tôi.
Nhà nghiên cứu đã xác định 3 vấn đề trong Email, nhưng một mình chúng không đủ để vượt qua các biện pháp bảo vệ an ninh cho iPhone và iPad và chúng tôi không tìm thấy bằng chứng nào về việc chúng được sử dụng để gây bất lợi cho khách hàng.
Những vấn đề này sẽ sớm được giải quyết trong bản cập nhật phần mềm. Chúng tôi đánh giá cao sự hợp tác với các nhà nghiên cứu bảo mật để giúp giữ an toàn cho người dùng và sẽ ghi nhận công sức của các nhà nghiên cứu về sự hỗ trợ của họ."
Ngoài ra, người dùng các sản phẩm của Apple có thể lưu ý một vài cách để tránh bị cuốn vào cuộc tấn công mạng này. Đầu tiên, Apple đã thông báo sửa lỗi trong phiên bản beta của iOS 13, mọi người có thể tìm hiểu thêm cách đăng ký iOS 13 beta. Tuy nhiên, các bản cập nhật Beta có thể mất vài tuần để chuyển sang phiên bản phát hành chung của iOS.
Kiểm tra iPhone thường xuyên để đảm bảo thiết bị đã có các bản sửa lỗi bảo mật mới nhất. Trong khi đó, mọi người chỉ cần tránh sử dụng ứng dụng Email bằng cách có thể chuyển sang một ứng dụng thay thế như ứng dụng Gmail của Google, ứng dụng này dường như không bị ảnh hưởng bởi lỗi này. Khi vấn đề được giải quyết, mọi người có thể quay lại sử dụng ứng dụng Mail của Apple.
Tác giả: Hương Giang
Nguồn tin: VietQ.vn