Trong bản cập nhật iOS 14, Apple đã giới thiệu BlastDoor. Một tính năng giúp iMessage ngăn chặn các mối đe dọa bảo mật tiềm ẩn từ bên ngoài. Tuy nhiên, theo nghiên cứu của Đại học Toronto, BlastDoor dễ dàng bị vượt qua bởi một lỗ hổng zero-click mới. Trên thực tế, chỉ một số ít người dùng iOS gặp phải tình huống này. Các cuộc tấn công được xác nhận cho đến nay thường nhắm vào các mục tiêu cụ thể. Chẳng hạn như các chính trị gia hoặc các nhân vật đối lập. Nói cách khác, người dùng iPhone bình thường khó có thể bị hack với số lần nhấp chuột bằng không. Tuy nhiên, đối với các cuộc tấn công hack không tương tác, Apple vẫn chưa có giải pháp thực sự phù hợp.
Apple tung bản cập nhật vá lỗi IOS 14.8
Chưa đầy một ngày trước khi công bố iPhone mới và phát hành iOS 15. Apple bất ngờ tung ra bản vá lỗi khẩn cấp iOS 14.8. Hãng khuyến cáo tất cả người dùng cập nhật ngay lập tức. Theo The Verge, Apple vừa phát hành bản cập nhật mới cho iOS. MacOS và watchOS để sửa một lỗi bảo mật nghiêm trọng. Có thể bị lợi dụng cài đặt phần mềm gián điệp. Được các nhà nghiên cứu bảo mật tại Citizen Lab cảnh báo từ tháng 8.
Theo đó, lỗ hổng cho phép cài đặt theo kiểu “zero-click”. Có nghĩa là mục tiêu không làm bất cứ điều gì vẫn bị lây nhiễm phần mềm gián điệp Pegasus. Công cụ này có khả năng đánh cắp dữ liệu, mật khẩu. Tự động kích hoạt micro hoặc camera của điện thoại. Với mức độ nghiêm trọng của lỗ hổng, người dùng nên cập nhật iOS 14.8. MacOS Big Sur 11.6 và watchOS 7.6.2 ngay lập tức cho các thiết bị của mình. Sau khi công bố bản vá. Apple gửi lời cảm ơn đến Citizen Lab vì đã “hoàn thành công việc rất khó khăn khi tái lập mẫu xâm nhập này”.
Điện thoại của một nhà chính trị bị hack
Citizen Lab phát hiện ra các tập tin độc hại trong khi phân tích lại bản sao lưu từ điện thoại bị tấn công của một nhà hoạt động chính trị. Chúng trông giống file GIF được gửi đính kèm SMS. Nhưng thực tế là PSD và PDF. Nghi ngờ có thể liên quan đến Pegasus, họ đã gửi cho Apple vào ngày 7/9. Đến 13/9, Táo khuyết tung ra bản cập nhật khẩn cấp.
Ngoài ra, loạt bản vá vừa phát hành cũng sửa lỗi liên quan đến WebKit cho iOS và macOS Big Sur. Chưa rõ có liên quan đến Pegasus không. Lỗi này do “một nhà nghiên cứu ẩn danh” tìm thấy thay vì Citizen Lab. Theo The Verge, nó nằm trong một phần khác của hệ thống. Tuy nhiên, Apple xác định lỗ hổng có thể đã bị tin tặc khai thác. Người dùng iPhone có thể kiểm tra và cập nhật iOS 14.8 bằng cách truy cập vào mục Cài đặt > Cài đặt chung > Cập nhật phần mềm, sau đó chọn Tải về và cài đặt.
Thủ thuật hack khiến Apple lao đao
Theo nghiên cứu do Đại học Toronto công bố cuối tháng 8. Các cuộc tấn công “zero-click” (không tương tác) đang ngày càng trở nên phổ biến hơn. Zero-click là phương pháp tấn công công nghệ bằng cách đánh cắp dữ liệu người dùng. Hacker không cần nạn nhân cấp quyền truy cập hay bấm vào các đường link bẩn. Phương pháp hack này đặc biệt nhắm tới những điểm yếu bảo mật của ứng dụng iMessage trên iPhone. Dù Apple đã tung ra nhiều bản cập nhật, họ vẫn chưa có thể giải quyết triệt để vấn đề.
