Lỗ hổng iOS khiến iPhone, iPad bị khởi động lại liên tục

Mai Phương Lý08:54 24/04/2015

Khi truy cập đến điểm Wi-Fi không an toàn, các ứng dụng trên iPhone, iPad có thể bị vô hiệu hóa đồng thời thiết bị rơi vào vòng lặp tự mở nguồn rồi tự tắt.

Tại hội nghị an ninh diễn ra ở San Francisco (Mỹ) đầu tuần này, nhóm các nhà bảo mật thuộc Skycure đã trình diễn “No iOS Zone”, một lỗ hổng cho phép các tin tặc tấn công và vô hiệu hóa bất kỳ thiết bị iOS nào trong phạm vi truy cập của một điểm kết nối Wi-Fi. Nguy hiểm hơn, iPhone hay iPad được lập trình để tự động kết nối đến một số mạng Wi-Fi nhất định nên việc kiểm soát sự tấn công trở nên khó khăn.

Lỗ hổng trên lợi dụng cơ chế chứng nhận SSL của iOS 8, xuất hiện trong hầu hết các ứng dụng thứ ba và chính nền tảng của Apple. Khi tấn công, các tin tặc sẽ tạo ra một mạng Wi-Fi miễn phí để “giăng bẫy” người dùng kết nối đến.

Video đang HOT

Một số thiết bị iOS của các nhà mạng sẽ tự động kết nối vào những điểm Wi-Fi nhất định. Chẳng hạn khách hàng dùng iPhone, iPad do AT&T phân phối sẽ tự động kết nối khi thấy mạng có tên “attwifi”. Lỗ hổng này được biết đến với tên “WiFiGate” và không có cách nào ngăn việc này trừ khi tắt kết nối Wi-Fi hay ra khỏi vùng phủ sóng.

Các nhà nghiên cứu không tiết lộ chi tiết cách thức để thực hiện phương pháp tấn công nói trên. Họ đã liên hệ với Apple để phát triển bản vá lỗi cho iOS. Trước đó, các chuyên gia bảo mật của SourceDNA cho biết có 1.500 ứng dụng cho iPhone, iPad dính lỗ hổng bảo mật HTTPS. Nếu cài ứng dụng chứa lỗi, kẻ tấn công có thể tiếp cận và thu thập lại các thông tin nhạy cảm như mật khẩu, số tài khoản ngân hàng… của người dùng.

Đình Nam

Theo VNE

1.500 ứng dụng iPhone, iPad dính mã độc nguy hiểm

Khoảng 1.500 ứng dụng iPhone, iPad chứa lỗ hổng bảo mật HTTPS, cho phép kẻ tấn công đánh cắp mật khẩu đã được mã hóa, số tài khoản ngân hàng cùng hàng loạt thông tin nhạy cảm khác.

Theo hãng phân tích SourceDNA, ước tính 2 triệu người đã tải các ứng dụng nhiễm độc, trong đó có các cái tên như Citrix OpenVoice Audio Conferencing, Alibaba.com, Movies by Flixster with Rotten Tomatoes, KYBankAgent 3.0, Revo Restaurant Point of Sale. Đây là kết quả của một lỗ hổng trong phiên bản cũ của AFNetworking, thư viện mã nguồn mở cho phép lập trình viên đưa năng lực kết nối mạng vào ứng dụng. Dù AFNetworking đã vá lỗ hổng 3 tuần trước bằng phiên bản 2.5.2, ít nhất 1.500 ứng dụng iOS vẫn gặp nguy hiểm do đang dùng phiên bản 2.5.1.

Theo hai nhà nghiên cứu Simone Bovi và Mauro Gentile, vấn đề xảy ra ngay cả khi ứng dụng yêu cầu thư viện kiểm tra các chứng nhận SSL có hiệu lực. Họ đưa ra kết luận sau khi phân tích một ứng dụng chạy AFNetworking 2.5.1 và nhận thấy tất cả traffic SSL có thể bị xâm nhập thông qua proxy như Burp mà không cần đến sự can thiệp nào.

Khoảng 1.500 ứng dụng iOS có thể là nạn nhân trong các cuộc tấn công man-in-the-middle, giải mã các dữ liệu HTTPS đã được mã hóa. Để khai thác lỗ hổng, kẻ tấn công dùng mạng Wi-Fi tại một quán café hay địa điểm nào đó để theo dõi kết nối của thiết bị cài ứng dụng nhiễm độc.

SourceDNA xác định các ứng dụng nhiễm độc bằng cách quét tất cả các ứng dụng miễn phí và 5.000 ứng dụng trả tiền hàng đầu trên App Store rồi phân tích mã nhị phân trong mỗi loại. Tổng cộng, có khoảng 1 triệu trong số 1,4 triệu ứng dụng App Store được phân tích. Các lập trình viên đã vá lỗ hổng bao gồm những công ty lớn như Yahoo, Microsoft và Uber.

Trong 4 tuần qua, SourceDNA giữ bí mật danh sách ứng dụng dính mã độc để ngăn chặn các cuộc tấn công ngoài đời thực. Tuy nhiên, hãng đã tiết lộ công cụ tìm kiếm cho phép người dùng kiểm tra ứng dụng họ đang sử dụng có nằm trong danh sách nguy hiểm hay không.

Độc giả đang dùng thiết bị iOS như iPhone, iPad nên dành vài phút để kiểm tra tại đây. Nếu phát hiện ứng dụng đáng nghi ngờ, cách tốt nhất là gỡ bỏ chúng và chờ đến khi có bản cập nhật từ nhà phát triển.

Theo Du Lam/ICT News

Tin tặc có thể làm giả bình luận trên YouTube Các chuyên gia bảo mật vừa phát hiện một lỗi trên dịch vụ lưu trữ video trực tuyến YouTube, qua đó cho phép tin tặc có thể sao chép và làm giả các lời bình luận trên này. Lỗ hổng bảo mật vừa được phát hiện trên YouTube có thể giúp tin tặc làm giả phần bình luận - Ảnh: AFP Theo TheHackerNews,...

Bạn thấy bài viết này có hữu ích không?

Có

Không

Tin liên quan

Chủ đề: không an toàn lỗ hổng liên tục khởi động lại

Xem thêm Share

Xem nhiều

Các thương hiệu lớn Trung Quốc rủ nhau rời xa Android?08:38

iPhone có một tính năng không phải ai cũng biết00:36

Canh bạc AI của Apple nhằm 'hạ bệ' Samsung08:44

Lý do bất ngờ khiến Windows 7 khởi động chậm chạp06:56

Vì sao pin smartphone Android kém hơn sau khi cập nhật phần mềm02:20

Windows 11 chiếm bao nhiêu dung lượng ổ cứng?01:07

5 điều nhà sản xuất smartphone không nói cho người mua08:58

One UI 7 đến với dòng Galaxy S2103:50

Tiêu điểm

Tin đang nóng

Tin mới nhất

Thiếu sót lớn nhất Samsung mắc phải với One UI 7

11:11:24 18/05/2025

Sau khi Samsung triển khai rộng rãi One UI 7 đến người dùng Galaxy, nhiều cuộc thảo luận sôi nổi về phiên bản này đã xuất hiện.

Robot hình người vào nhà máy Trung Quốc

16:30:09 17/05/2025

Theo các chuyên gia, tiến trình chuyển đổi tại các nhà máy đã chứng minh việc máy móc thay thế con người không đáng lo ngại như suy nghĩ ban đầu bởi tình trạng thiếu hụt lao động vẫn xảy ra trong một số lĩnh vực.

Apple chuẩn bị tung iPhone 'khác biệt nhất lịch sử'

11:55:31 16/05/2025

Nếu thành công, đây sẽ là lần đầu tiên HBM được tích hợp trên smartphone. Hướng đi này cũng tương tự cách Apple sử dụng bộ nhớ hợp nhất (Unified Memory) trên dòng máy Mac dùng chip Apple Silicon, giúp tăng hiệu quả xử lý dữ liệu AI.

Top 4 camera Tapo ngoài trời bền đẹp, chất lượng cao

11:17:58 16/05/2025

Thiết kế nhỏ gọn, dễ lắp đặt ở nhiều vị trí khác nhau trong nhà như phòng khách, phòng ngủ, hay khu vực cửa ra vào. Tapo C120 hỗ trợ lưu trữ linh hoạt qua thẻ nhớ microSD hoặc trên đám mây (Tapo Care), đảm bảo dữ liệu an toàn.

Ra mắt dòng mô hình AI mạnh nhất dành cho người viết phần mềm

11:06:46 16/05/2025

Trong khi đó, SWE-1 chỉ dành cho người dùng trả phí. Windsurf chưa công bố giá cụ thể cho dòng mô hình SWE-1, nhưng khẳng định chi phí sử dụng rẻ hơn Claude 3.5 Sonnet.

Apple sẽ sử dụng AI để quản lý pin trên iPhone

07:39:02 16/05/2025

Trong bối cảnh cạnh tranh ngày càng gay gắt trong lĩnh vực trí tuệ nhân tạo (AI), Apple dự kiến sẽ giới thiệu một tính năng mới liên quan đến quản lý pin thông minh trên iOS 19.

Apple phát triển công nghệ hỗ trợ điều khiển thiết bị bằng tín hiệu não

21:24:46 15/05/2025

Theo giới phân tích, nếu thành công, bước tiến này có thể mở ra kỷ nguyên mới trong tương tác giữa con người và thiết bị, với những tiềm năng không chỉ giới hạn trong lĩnh vực hỗ trợ y tế.

Lần đầu chụp được ảnh cực quang trên sao Hỏa

21:24:16 15/05/2025

Cực quang có thể xuất hiện khi các hạt tích điện từ không gian tương tác với khí quyển của hành tinh. Chúng đã được phát hiện trên sao Thủy, sao Mộc và mọi hành tinh khác không phải Trái Đất trong hệ Mặt Trời, nhưng chỉ từ quỹ đạo.

Các nhà thiên văn Australia phát hiện 5 hành tinh mới

21:21:36 15/05/2025

Là một phần của dự án exoALMA toàn cầu, khám phá này được thực hiện bằng kính viễn vọng lớn nhất thế giới Atacama Large Millimeter/submillimeter Array (ALMA) đặt tại sa mạc Atacama ở Chile.

Người dùng điện thoại Android sẽ được nâng cấp tính năng chống lừa đảo

13:48:01 15/05/2025

Android 16 đã chính thức được công bố tại sự kiện đặc biệt The Android Show, hứa hẹn mang đến những thay đổi đáng kể cho trải nghiệm di động.

Nỗi ám ảnh thời lượng pin iPhone sẽ biến mất nhờ iOS 19

12:14:53 15/05/2025

Công cụ này có thể đặc biệt hữu ích cho các mẫu iPhone mới nhất của Apple, khi công ty dự kiến sẽ giới thiệu một modem Wi-Fi hoàn toàn mới cho dòng iPhone 17.

GS.TSKH Hồ Sĩ Thoảng: Khoa học công nghệ có vai trò mở đường, tạo đột phá

12:12:59 15/05/2025

Theo GS.TSKH Hồ Sĩ Thoảng, để phát triển bền vững trong giai đoạn tới, Petrovietnam cần tiếp tục đầu tư mạnh cho nghiên cứu khoa học, không chỉ dưới góc độ kỹ thuật mà cả về tổ chức, cơ chế và con người.