Đặc biệt, Sina Kheirkhah từ đội Summoning đã gây ấn tượng mạnh với chuỗi chín lỗ hổng, bắt đầu từ bộ định tuyến QNAP QHora-322 và kết thúc ở thiết bị TrueNAS Mini X. Phần thưởng cho thành tích này là 100,000 USD và 10 điểm Master of Pwn. Theo sát sau đó là Jack Dates từ RET2 Systems, người đã khai thác thành công một lỗi ghi ngoài phạm vi (OOB) trên loa thông minh Sonos Era 300, mang lại 60,000 USD và 6 điểm cho mình. Chiến công của anh đã cho phép kiểm soát hoàn toàn thiết bị này.

Trong một nỗ lực thứ hai, nhóm Viettel Cyber Security đã kết hợp bốn lỗ hổng mới để khai thác từ QNAP QHora-322 sang TrueNAS Mini X, tạo ra thêm 50,000 USD và 10 điểm. Mặc dù có nhiều thành công, ngày đầu tiên cũng không thiếu thách thức và những thất bại phần nào. Đội Summoning đã gặp khó khăn khi cố gắng thực hiện các cuộc khai thác trên QNAP TS-464 và Synology BeeStation BST150-4T không kịp thời, trong khi Synacktiv cũng đã trải qua một va chạm lỗi trong cuộc khai thác camera Lorex 2K của họ và chỉ nhận được 11,250 USD.

Mặc dù có một số trở ngại, ngày đầu tiên của Pwn2Own Ireland 2024 đã diễn ra sôi động với nhiều hack với độ rủi ro cao và phần thưởng lớn. Còn ba ngày nữa trong cuộc thi, các thí sinh sẽ tiếp tục tìm kiếm các lỗ hổng bảo mật trong các thiết bị SOHO đã được vá lỗi hoàn chỉnh, bao gồm máy in, hệ thống NAS, camera WiFi, bộ định tuyến, loa thông minh, và điện thoại di động (Samsung Galaxy S24), cho cơ hội giành phần thưởng từ tổng giá trị 1 triệu USD.

Còn nhớ cách đây không lâu, Apple đã ra mắt hai phiên bản iOS 13.4.5 beta 1 và iOS 13.4.5 beta 2 cho các nhà phát triển, đột nhiên sau đó Apple lại đổi thành iOS 13.5 beta 3, tình huống này không phổ biến trong quá khứ. Có vẻ như việc Apple và Google hợp tác để cùng phát triển nền tảng theo dõi lịch sử liên quan với bệnh COVID-19 đã làm thay đổi. Nền tảng này cần một API mới và có vẻ nó liên quan đến việc Apple phải triển khai trên phiên bản SDK iOS mới.

Apple ban đầu có vẻ dự kiến ra mắt iOS 13.5 trễ hơn nhưng do bị ảnh hưởng bởi dịch bệnh và tiến bộ hợp tác công khai với Google, COVID-19 SDK cần được sử dụng với phiên bản iOS 13.5 để sử dụng, nên mới có tình trạng “nhảy cóc” từ iOS 13.4.5 và chuyển trực tiếp sang phiên bản iOS 13.5.

Phiên bản iOS 13.5 mới nhất cũng bao gồm các chức năng mới như:

• Tăng cường chia sẻ Apple Music: album có thể được chia sẻ với IG và Facebook
• Khi đeo khẩu trang, nhận dạng khuôn mặt Face ID sẽ tự động được chuyển đổi thành dạng nhập mật khẩu passcode.
• API lịch sử liên lạc theo dõi coronavirus mới và chuyển đổi chức năng cảnh báo liên hệ.
• FaceTime hỗ trợ các cuộc gọi nhóm tốt hơn.
• Khắc phục lỗ hổng khác biệt về thời gian gửi thư của iOS Mail
• Khắc phục lỗi Sindhi khiến hệ thống gặp sự cố?

Trong số đó phần theo dõi coronavirus (COVID-19) mới thu hút sự chú ý của nhiều người. Apple cho biết, cả hai công ty sẽ ra mắt những công cụ dành cho các nhà phát triển (được gọi là API) vào đầu tháng 5, điều này sẽ cho phép tăng khả năng tương tác giữa thiết bị Android và iOS bằng các ứng dụng từ cơ quan y tế công cộng. Các ứng dụng sẽ có trên hai chợ ứng dụng App Store và Google Play Store. Các chuyên gia theo dõi sự lây lan của Covid-19 bằng cách sử dụng giám sát “syndromic”, một kỹ thuật có thể được sử dụng để theo dõi đại dịch.

Hiện tại Apple và Google đã cùng nhau ra mắt API theo dõi lịch sử liên lạc của virus mới. Ngay sau đó, Apple đã tung ra các phiên bản iOS 13.5 Beta và XCode 11.5 Beta, cũng bao gồm API này.

Hai công ty cũng đã tiết lộ rằng API mới nhất sẽ được cung cấp cho các nhà phát triển trong lĩnh vực y tế công cộng vào giữa tháng 5. Rất có thể vào giữa tháng 5 này, phiên bản chính thức iOS 13.5 cũng sẽ được tung ra cùng lúc.

Với những lỗ hổng zero-day này, Ryan Pickren có thể xây dựng một hệ thống tấn công cướp quyền điều khiển máy ảnh iPhone của người dùng. Lỗ hổng này tồn tại trên các ứng dụng chụp ảnh của cả nền tảng iOS và macOS.

Bảy lỗ hổng này được Ryan Pickren bắt đầu thu thập từ tháng 12.2019, khi anh bắt đầu phân tích các lỗ hổng của trình duyệt Safari (trình duyệt mặt định trên iOS và Android). Ba trong số bảy lỗi này có liên quan đến tính năng chụp ảnh (camera API) của hệ thống. Để khai thác lỗ hổng, Pockren chỉ cần tạo một trang web độc hại và “câu” người dùng truy cập. Chỉ cần người dùng bấm vào một đường link, hệ thống camera và microphone trên iPhone hay MacBook có thể âm thầm được kích hoạt và tự động ghi lại hình ảnh, âm thanh hoặc dữ liệu màn hình và chuyển nội dung này tới kẻ xấu mà người dùng không hay biết.

Hiện tại Apple đã xác nhận sự tồn tại của cả bảy lỗi và chúng đã được vá lần lượt trong các bản cập nhật Safari 13.0.5 (được phát hành vào ngày 28/1/2020) và Safari 13.1 (được phát hành ngày 24/3/2020).

Những phát hiện của Ryan Pickren đã giúp ông thu về 75.000 USD từ chương trình săn lỗi nhận thưởng của Apple. Chương trình Bounty Security của Apple có thể trả tới 1,5 triệu USD cho các lỗ hổng bảo mật nghiêm trọng nhất.

Trong một bài blog chia sẻ mới đây, Facebook tiết lộ rằng đội ngũ bảo mật của họ đã phát hiện vụ tấn công cách đây ba ngày và vẫn đang điều tra vụ việc này.

Lỗ hổng bảo mật này không được tiết lộ chi tiết nhưng đã được Facebook vá lại. Nó nằm trong tính năng View As cho phép người dùng có thể phát hiện những người dùng Facebook khác sẽ thấy gì khi truy xuất vào trang Facebook cá nhân của họ.

Theo Facebook, lỗ hổng này cho phép hacker có thể chiếm token truy cập bí mật và dùng nó để chiếm tài khoản Facebook của người dùng. Đây là vấn đề khá nghiêm trọng vì token này giống như một loại khóa kỹ thuật số, cho phép người dùng đăng nhập vào Facebook mà không phải nhập lại mật khẩu mỗi lần sử dụng.

Nhằm tránh hậu quả nghiêm trọng cho người dùng, Facebook đã đặt lại token truy cập này cho gần 50 triệu tài khoản bị ảnh hưởng và thêm 40 triệu tài khoản khác để phòng hờ. Hậu quả là có khoảng 90 triệu người dùng sẽ phải đăng nhập lại vào Facebook hoặc bất kỳ ứng dụng nào sử dụng tính năng Facebook Login. Sau khi đăng nhập vào lại, người dùng sẽ nhận được thông báo về sự việc ngay phía trên News Feed.

Hiện tại, tính năng View as đã tạm thời bị vô hiệu hóa. Trong khi đó, cuộc điều tra chỉ mới ở giai đoạn đầu và Facebook cũng chưa thể xác định được liệu kẻ tấn công có sử dụng hành vi sai trái nào với các token truy cập của hơn 50 triệu tài khoản nói trên hay có thông tin nào đã bị truy xuất trái phép hay không.

Sau vụ Cambridge Analytica, dường như vận xui vẫn tiếp tục bám đuổi nền tảng mạng xã hội lớn nhất thế giới này. Thậm chí sau vụ việc này thì người ta càng thấy sự thất bại của Facebook trong việc bảo vệ thông tin của người dùng, dù hãng đang kiếm được hàng tỉ đô từ dữ liệu này.