Tin tặc tấn công qua Wi-Fi không cần tương tác qua lỗ hổng iOS 13 của iPhone

08:21 04/12/2020

Nhà nghiên cứu bảo mật Ian Beer của Google Project Zero đã trình bày chi tiết một lỗ hổng iOS 13 cho phép ai đó điều khiển thiết bị từ xa qua Wi-Fi bằng cách sử dụng cuộc tấn công “zero-click”.

Lỗ hổng đã được Apple khắc phục thông qua bản cập nhật iOS 13.1. Ảnh: Reuters.

Theo Engadget, cuộc tấn công tận dụng lỗi tràn bộ đệm trong trình điều khiển cho giao thức mạng lưới nội bộ được sử dụng cho các tính năng như AirDrop. Vì trình điều khiển đó nằm trong nhân của hệ điều hành có nhiều đặc quyền nên một vụ hack thành công có thể gây ra thiệt hại lớn. Chẳng hạn, kẻ xâm nhập có thể cài đặt một “thiết bị cấy ghép” để truy cập thông tin nhạy cảm như khóa mật mã và ảnh.

Về cơ bản, việc tấn công này yêu cầu kẻ gian phải thực hiện trong cùng mạng Wi-Fi với nạn nhân. Đó có thể là một yêu cầu khó nhưng không phải là không làm được, miễn là kẻ gian có thể tiếp cận gần với nạn nhân mà họ không hề hay biết.
Cũng có một lưu ý cần nhớ là Apple đã sửa lỗi trong iOS 13.3.1 trước khi iOS 13.5 xuất hiện với tính năng theo dõi tiếp xúc Covid-19. Vẫn chưa rõ liệu kẻ gian đã khai thác lỗ hổng này trong quá khứ hay không nhưng đó rõ ràng là một vấn đề lo ngại, đặc biệt trong bối cảnh nhiều người đang làm việc tại nhà trong các căn hộ hoặc nơi khác, vốn rất khó để giữ khoảng cách Wi-Fi với nhau.
PV/Thanh Niên