Hacker của Google tìm ra 10 lỗ hổng chết người trên iPhone, có thể tấn công mà nạn nhân không hề hay biết
Các lỗ hổng này cho phép hacker có thể tấn công từ xa, hack thành công iPhone mà nạn nhân gần như không thể ngăn chặn.
Cho dù iPhone là một trong những thiết bị điện tử tiêu dùng bảo mật nhất trên thị trường, nó vẫn không hoàn toàn miễn nhiễm. Vào năm ngoái, nhà nghiên cứu bảo mật Ian Beer đã tìm ra 30 lỗ hổng khác nhau trong iOS khi đang làm việc cho Project Zero, nhóm các hacker hàng đầu của Google có nhiệm vụ tìm kiếm lỗi bảo mật trong các sản phẩm của đối thủ cũng như của chính Google.
Một báo cáo gần đây của Project Zero do nhà nghiên cứu Natalie Silvanovich đăng tải đã chỉ ra 10 cách mới để tấn công iPhone. Các lỗ hổng mới này cũng được Silvanovich cùng đồng nghiệp Samuel Gross trình diễn vào tuần trước trong hội nghị bảo mật Black Hat ở Las Vegas. Không chỉ số lượng các lỗ hổng mà cách thức tấn công cũng cho thấy đây là các lỗ hổng vô cùng nguy hiểm.
Các lỗ hổng do hai nhà nghiên cứu bảo mật phát hiện liên quan đến nhiều dịch vụ như nhắn tin văn bản, voicemail và email. Trong đó, iMessage, ứng dụng nhắn tin mặc định trên iOS và máy tính Mac, chịu ảnh hưởng nặng nề nhất với các lỗ hổng nguy hiểm nhất và nhiều lỗ hổng nhất.
Một trong các lỗ hổng của iMessage cho phép kẻ tấn công gửi một tin nhắn với nội dung đặc biệt để đánh lừa máy chủ iMessage đưa ra toàn bộ nội dung tin nhắn văn bản của người nhận (bao gồm cả văn bản và hình ảnh). Với cách tấn công này, mục tiêu cuối cùng thậm chí còn không thấy tin nhắn này hay biết rằng mình đang trở thành nạn nhân. Họ thậm chí còn không cần mở ứng dụng lên.
Các lỗ hổng khác cũng liên quan đến việc sử dụng tin nhắn văn bản để đưa các dòng code độc hại vào thiết bị của nạn nhân mà họ không hề hay biết. Theo Silvanonvich, sự phức tạp của iMessage và mức độ phụ thuộc chéo của nó vào hàng loạt dịch vụ, ứng dụng, thư viện phần mềm làm gia tăng nguy cơ tấn công do hacker có thể qua mặt các biện pháp ngăn chặn của iOS.
Video đang HOT
Đại đa số các lỗ hổng mà nhóm Project Zero mới phát hiện ra đều liên quan đến việc tấn công từ xa hay các lỗ hổng “zero click” (không cần bấm vào) – nghĩa là kẻ tấn công không cần bất kỳ tương tác vật lý nào từ nạn nhân (như click vào đường link lừa đảo) để thực hiện tấn công. Các lỗ hổng như vậy luôn được các hacker và tổ chức tội phạm săn tìm do nạn nhân không hề biết về cuộc tấn công đang diễn ra.
Theo các nhà nghiên cứu bảo mật, 6 trong số các lỗ hổng trên đã được vá, còn các lỗ hổng khác thì chưa. Và vẫn còn nhiều lỗ hổng khác vẫn chưa được phát hiện ra.
Các nhà nghiên cứu cho biết, động lực để họ tìm kiếm thêm các lỗ hổng zero click này đến từ lỗ hổng mới được phát hiện gần đây trên WhatsApp cho thấy, ngay cả người dùng iPhone cũng có thể bị cài đặt spyware trên điện thoại mà không có dấu hiệu nào để nhận ra.
Nhà nghiên cứu Natalie Silvanovich cho biết trong báo cáo của mình: “Trên hết, số lượng và mức độ nguy hiểm của các lỗ hổng tấn công từ xa mà chúng tôi phát hiện ra là rất đáng kể. Giảm số lượng các cuộc tấn công từ xa nhắm vào iPhone sẽ giúp cải thiện mức độ bảo mật của thiết bị này.”
Chỉ mới vài tháng trước, các nhà nghiên cứu Project Zero đã khám phá ra một loạt lỗ hổng nghiêm trọng trên iMessage khi có thể xóa sạch một chiếc iPhone từ xa mà nạn nhân không thể làm gì để chống lại. Các lỗ hổng khác cho phép xem trộm dữ liệu cá nhân của người dùng trên thiết bị mục tiêu.
Từ năm 2016, Apple bắt đầu đưa ra các khoản tiền thưởng 6 con số dành cho các hacker khám phá ra những lỗ hổng trên sản phẩm của họ, phần lớn là vì những lỗ hổng này có thể có giá đến hàng triệu USD trên thị trường mua bán lỗ hổng phần mềm, và có thể gây ra các thiệt hại đáng kể cho người dùng cuối. Tuần trước, công ty thông báo số tiền thưởng hiện có thể lên đến 1 triệu USD cho các lỗ hổng này.
Silvanovich cũng nói rõ rằng các lỗ hổng bảo mật trong iOS vẫn còn rất cao. Trong khi không thể bảo mật hoàn toàn trước mọi cuộc tấn công như vậy, cách tốt nhất để đảm bảo an toàn cho thiết bị của mình là người dùng nên cập nhật iOS và các ứng dụng mới nhất. Sáu lỗ hổng trong iMessage mà Silvanovich đề cập đến đã được vá trong các bản cập nhật iOS 12.4 và MacOS 10.13.6 của Apple.
Theo GameK
Lỗi bảo mật nghiệm trọng trên iPhone cho phép hacker lấy cắp dữ liệu từ xa
Tổng cộng 6 lỗi bảo mật nghiêm trọng vừa được phát hiện trên nền tảng iOS của iPhone, trong đó có có bốn lỗi bảo mật nghiêm trọng có thể cho phép tin tặc tấn công thiết bị của người dùng từ xa và lấy cắp các dữ liệu chứa trên đó.
Hai chuyên gia của Project Zero, nhóm nghiên cứu chuyên tìm kiếm các lỗi bảo mật trên phần mềm do Google thành lập, đã phát hiện thấy 6 lỗi bảo mật nghiêm trọng trên nền tảng iOS hoạt động trên iPhone của Apple.
Các chuyên gia của Google đã thông báo những lỗi bảo mật này đến Apple và 5 trên 6 lỗi đã được vá lại trong bản nâng cấp iOS 12.4 vừa được phát hành. Chi tiết của một lỗi bảo mật còn lại vẫn chưa được công bố vì Apple vẫn chưa thể khắc phục hoàn toàn lỗi bảo mật này.
Lỗi bảo mật trên iOS có thể khiến dữ liệu chứa trên iPhone bị lấy cắp từ xa
Theo các chuyên gia bảo mật, 4 trong tổng số 6 lỗi bảo mật vừa phát hiện ra có thể cho phép tin tặc tấn công từ xa thiết bị của người dùng mà không cần phải tương tác trực tiếp. Những gì các tin tặc cần là gửi một tin nhắn không đúng định dạng và có chứa mã độc đến điện thoại của nạn nhân và khi nạn nhân mở tin các tin nhắn này, mã độc sẽ lập tức được thực thi.
Đáng chú ý 2 trong tổng số 6 lỗi bảo mật vừa được phát hiện này có thể bị lợi dụng để lấy cắp dữ liệu trên iPhone từ xa mà không cần phải tương tác trực tiếp với thiết bị, bao gồm đọc trộm nội dung tin nhắn hoặc xem các hình ảnh có chứa trên iPhone mà người dùng không hay biết.
Theo Natalie Silvanovich, một trong hai chuyên gia bảo mật đã phát hiện ra các lỗi nghiêm trọng kể trên thì hiện tại trên các nền tảng di động như iOS hay Android, có rất ít lỗ hổng bảo mật có thể cho phép tin tặc thực thi mã độc từ xa mà không cần sự tương tác với thiết bị, tuy nhiên điều này không đồng nghĩa với việc các lỗi bảo mật này không tồn tại.
May mắn các lỗi bảo mật nghiêm trọng này đã được phát hiện bởi các chuyên gia bảo mật và thông báo kịp thời đến Apple trước khi chúng bị các tin tặc phát hiện ra và khai thác thực tế, bởi lẽ hậu quả có thể sẽ rất nghiêm trọng và mang lại thiệt hại lớn cho cả Apple lẫn người dùng.
Các chuyên gia bảo mật khuyên người dùng di động (Android lẫn iOS) phải thường xuyên cập nhật kịp thời các nền tảng di động của mình lên phiên bản mới nhất để có thể vá lại các lỗ hổng bảo mật nghiêm trọng có thể tồn tại và mới phát hiện ở các phiên bản cũ.
Theo dân trí
Apple xác nhận sẽ thưởng 1 triệu USD cho bất kỳ ai hack được iPhone Toàn bộ 1 triệu USD sẽ được chuyển cho hacker nào tìm ra lỗ hổng trên iPhone, có thể hack được iPhone mà người dùng iPhone không hề làm gì sơ suất. Apple đã ồ ạt tăng số tiền thưởng cho những hacker phát hiện ra lỗ hổng trong iPhone và máy Mac. Lần này, số tiền thưởng của Apple lên tới 1...