Hãng bảo mật tuyên bố dừng mua lỗ hổng trong iOS vì quá thừa thãi

Nguyễn Hải22:16 15/05/2020

Năm ngoái hãng Zerodium cũng từng chứng kiến số lượng lỗ hổng khai thác iOS được gửi đến nhiều đến mức giá của nó giảm đi so với Android.

Một công ty chuyên lùng mua các lỗ hổng bảo mật và cách khai thác từ các hacker cho biết, họ đã sẽ ngừng mua lại các loại lỗi khai thác trên iOS bởi vì đang có quá nhiều “các mặt hàng” này.

Zerodium vốn là một công ty an ninh mạng nổi tiếng khi trả tiền cho các nhà phát triển để có được các lỗ hổng và cách khai thác phần mềm mà họ tìm ra được. Đặc biệt trong nhiều trường hợp, số tiền mà Zerodium trả cho các nhà phát triển còn cao hơn nhiều so với chương trình tiền thưởng tìm lỗ hổng của Apple.

Dòng tweet thông báo dừng mua các loại lỗ hổng khai thác iOS của Zerodium

Video đang HOT

Thế nhưng vào thứ Tư vừa qua, công ty cho biết sẽ dừng việc mua lại bất kỳ cách khai thác chiếm quyền ưu tiên, đoạn mã thực thi từ xa hay cách vượt qua sandbox của iOS “trong vòng 2 đến 3 tháng tới do có quá nhiều người gửi lên.” Bên cạnh đó, công ty cũng cho biết mức giá cho nhiều loại lỗ hổng nhất định trong Safari trên iOS cũng sẽ sụt giảm mạnh trong tương lai gần.

Trong dòng tweet gần đây, nhà sáng lập Zerodium, Chaouki Bekrar cho biết khả năng bảo mật iOS là đáng “vứt đi”. Ông còn bổ sung thêm rằng việc thiếu tính thống nhất và một cơ chế bảo mật có tên gọi PAC (pointer authentication codes) là hai yếu tố khiến khả năng bảo mật của iOS “đang gần như không có.”

Lời chê bai của Chaouki Bekrar, nhà sáng lập Zerodium, đối với khả năng bảo mật của iOS.

Có thể một phần của điều này là thế giới vẫn đang trong giai đoạn phong tỏa trên quy mô lớn và do vậy, các nhà nghiên cứu bảo mật có nhiều thời gian hơn để mày mò những lỗ hổng này. Một yếu tố khác có thể là iOS 13 quả thật đang có nhiều lỗi đến mức đáng kinh ngạc – một thực tế đã khiến Giám đốc phần mềm Apple, ông Craig Federighi phải cải tổ lại toàn bộ quá trình phát triển iOS phiên bản kế tiếp.

Do vậy, Bekrar cho biết: “Hãy hy vọng iOS 14 sẽ tốt hơn.”

Đây không phải lần đầu Zerodium chứng kiến cảnh thừa mứa các lỗ hổng khai thác iOS đến vậy. Vào tháng Chín năm 2019, công ty từng cho biết, lần đầu tiên họ phải trả cho các lỗ hổng khai thác Android nhiều tiền hơn iOS do dư thừa nguồn cung.

Google tìm ra rất nhiều lỗ hổng của Apple

Nhóm chuyên tìm lỗi Project Zero của Google đã phát hiện loạt lỗ hổng bảo mật "zero-click" trên iPhone và các sản phẩm phần cứng nhà Táo.

Lỗ hổng được tìm thấy sau khi các nhà nghiên cứu truy cập vào framework Image I/O trên tất cả nền tảng của Apple, bao gồm iOS, macOS, watchOS và thậm chí cả tvOS. Image I/O được dùng để phân tích cú pháp và xử lý các tệp siêu dữ liệu hình ảnh.

Google đã tìm ra lỗ hổng trên hệ sinh thái Apple.

Khi bạn nhận được hình ảnh qua tin nhắn hay email, Image I/O sẽ xử lý quá trình phân tích cú pháp để tìm ra định dạng cơ bản của tệp. Vì quá trình này được tự động hóa và không yêu cầu bất kỳ tương tác nào của người dùng, tin tặc có thể cài mã độc vào các tệp hình ảnh và khai thác lỗ hổng bảo mật.

Thông qua một kỹ thuật có tên "fuzzing", nhóm kỹ sư Google đã kiểm tra cách framework Image I/O xử lý các tệp hình ảnh không đúng định dạng. Quá trình fuzzing đã cho ra sáu lỗ hổng bảo mật trong Image I/O và tám lỗ hổng khác ở định dạng ảnh của bên thứ ba OpenEXR.

Bên cạnh những lỗ hổng được khai thác từ các ứng dụng nhắn tin bên thứ ba, ứng dụng hệ thống và mã nguồn hệ điều hành đã tạo lỗ hổng để tin tặc tấn công.

Google đã nhanh chóng báo lỗi cho Apple và công ty đã vá thông qua các bản cập nhật phần mềm. Các lỗi về Image I/O đã được khắc phục bằng các bản vá bảo mật vào tháng 1 và tháng 4 năm nay, trong khi các lỗi OpenEXR đã được vá trong phiên bản iOS 13.4.1.

Tuy nhiên nhà nghiên cứu Samuel Gro từ nhóm Project Zero cho biết dù tất cả các lỗi mà Google tìm ra trong hệ thống Apple đều đã được vá, một số lỗ hổng với cách khai thác tương tự vẫn xuất hiện giúp tin tặc dễ dàng tấn công.

Qua đây cho thấy không có hệ điều hành nào là an toàn mọi lúc, vì thế người dùng nên giữ thiết bị luôn được cập nhật bản vá bảo mật và phiên bản hệ điều hành mới nhất. Từ đó giúp thông tin người dùng luôn được bảo vệ trước sự tấn công của tin tặc.

Nhận 130,000 USD nếu tìm thấy lỗ hổng trên trình duyệt Safari Trend Micro hôm nay thông báo rằng cuộc thi hack Pwn2Own hàng năm của họ sẽ được tổ chức trong hội nghị CanSecWest từ ngày 18 đến 20 tháng 3 năm nay tại Vancouver, Canada. Lần này, sẽ có giải thưởng trị giá hơn 1,000,000 USD để giành chiến thắng cho các thí sinh. Được biết, Pwn2Own là một cuộc thi hack phổ...

Bạn thấy bài viết này có hữu ích không?

Có;

Không

Tin liên quan

Chủ đề: tiền thưởng android – bảo mật công ty lỗ hổng ios an ninh mạng zerodium khai thác phần mềm

Xem thêm Share

Xem nhiều

Clip nghi phạm đốt quán hát khiến 11 người chết ở Hà Nội01:29

Lý do quán 'Hát cho nhau nghe' bị phóng hỏa khiến 11 người tử vong ở Hà Nội02:17

Vợ Anh Đức nhăn mặt nhất quyết không chịu lên thảm đỏ, nguyên nhân đằng sau khiến netizen bùng tranh cãi00:26

Nóng: Diệp Lâm Anh và chồng cũ bị bắt cận cảnh tái hợp sượng trân, nhưng biểu cảm của 2 người đẹp bên cạnh mới là thú vị!00:42

Cảnh ái nữ cựu Chủ tịch "tám" với Chu Thanh Huyền ngỡ bình thường bỗng bị hội mẹ chồng online vào phán xét 1 điều00:43

Hot nhất MXH: Paparazzi lần đầu tung clip "full HD" tóm Lưu Diệc Phi hẹn hò Song Seung Hun00:16

Em trai Sơn Tùng và Thiều Bảo Trâm "đụng mặt", chỉ nói đúng 1 câu khiến Hải Tú ngay lập tức bị réo tên00:20

Em trai Sơn Tùng bị "ném đá" vì một hành động với JSOL, drama căng đến mức người trong cuộc phải lên tiếng00:34

Sự thật clip cô dâu Sóc Trăng thất thần trước mâm quả sơ sài của nhà trai00:38

Diễn biến vụ nghi phạm đốt quán 'Hát cho nhau nghe' làm 11 người tử vong01:02

Chi nghìn USD đến Việt Nam, khách Tây ngồi rửa bát, tự nhóm bếp củi nấu cơm01:24

Tin đang nóng

Tin mới nhất

Nâng cao và biến đổi hình ảnh của bạn bằng trình chỉnh sửa video trực tuyến CapCut

15:45:56 16/01/2024

Đã đến lúc bỏ lại các công cụ chỉnh sửa cũ và chấp nhận giải pháp thay đổi cuộc chơi. Gặp gỡ Trình chỉnh sửa video trực tuyến CapCut - giải pháp sẽ nâng cao, nâng cao và cách mạng hóa thế giới sáng tạo nội dung trực quan của bạn

Cách đăng Facebook để có nhiều lượt thích và chia sẻ

22:01:27 21/12/2022

Chắc hẳn là ai trong chúng ta cũng luôn muốn các bài đăng trên Facebook có được nhiều lượt thích và chia sẻ. Tuy nhiên, làm thế nào để tối ưu bài đăng thì không phải ai cũng biết

Thêm nhiều bang của Mỹ cấm TikTok

21:03:46 21/12/2022

Louisiana và Tây Virginia là hai bang mới nhất cấm công chức sử dụng TikTok trên thiết bị công do lo ngại Trung Quốc có thể theo dõi người Mỹ và kiểm duyệt nội dung

Microsoft cấm khai thác tiền điện tử trên các dịch vụ đám mây để bảo vệ khách hàng

20:03:41 21/12/2022

Microsoft đã cập nhật thỏa thuận cấm khai thác tiền điện tử trên các dịch vụ trực tuyến của mình. Việc khai thác tiền điện tử trên dịch vụ của Microsoft cần có sự cho phép bằng văn bản của công ty, nhưng cũng chỉ nhằm mục đích thử nghiệ...

Facebook trấn áp hàng loạt công ty phần mềm gián điệp

20:01:24 21/12/2022

Meta (công ty mẹ của Facebook) cho biết họ đã ngăn chặn không dưới 200 hoạt động bí mật, trấn áp hàng loạt công ty phần mềm gián điệp kể từ năm 2017 tại khoảng 70 quốc gia

Meta đối mặt cáo buộc vi phạm các quy tắc chống độc quyền với mức phạt 11,8 tỷ đô

19:01:39 21/12/2022

Ủy ban Châu Âu - cơ quan điều hành của EU cho biết, đã phát hiện Meta vi phạm các quy tắc chống độc quyền của EU bằng cách bóp méo sự cạnh tranh trên thị trường quảng cáo trực tuyến. Meta có thể phải đối mặt với khoản tiền phạt lên tới ...

Không cần thăm dò, Musk nên sớm từ chức CEO Twitter

15:01:33 21/12/2022

Người dùng Twitter, các nhà đầu tư Tesla và chuyên gia phân tích trong ngành đều cho rằng Elon Musk nên sớm từ chức CEO Twitter

Đại lý Việt nhập iPhone 14 kiểu 'bia kèm lạc'

14:01:42 21/12/2022

Muốn nhập được các mẫu bán chạy như iPhone 14 Pro/Pro Max, các chuỗi đại lý bán lẻ ủy quyền của Apple bắt buộc phải nhập thêm hàng loạt phụ kiện đi kèm

Khai trương hệ thống vé điện tử và dịch vụ trải nghiệm thực tế ảo XR tại Quần thể Di tích Cố đô Huế

09:38:18 21/12/2022

Sáng 20/12, tại Ngọ Môn, Đại Nội Huế, Trung tâm Bảo tồn Di tích Cố đô Huế đã tổ chức Lễ Khai trương Hệ thống vé điện tử và dịch vụ trải nghiệm thực tế ảo XR

'Dở khóc dở cười' với tính năng trợ giúp người bị tai nạn ôtô của Apple

09:37:54 21/12/2022

Tính năng phát hiện tai nạn ôtô mới ra mắt trên Apple iPhone và Apple Watch sẽ tự động tìm kiếm sự trợ giúp từ bộ phận cấp cứu khi có nguy cơ xảy ra tai nạn