Ứng dụng gửi email (Mail) mặc định được cài đặt sẵn trên hàng triệu iPhone và iPad đã được tìm thấy hai lỗ hổng nghiêm trọng mà hacker có thể khai thác ít nhất là từ hai năm qua để theo dõi người dùng mục tiêu.
Các lỗ hổng này có thể cho phép các hacker từ xa bí mật kiểm soát hoàn toàn các thiết bị của Apple chỉ bằng cách gửi email đến bất kỳ cá nhân nào được nhắm mục tiêu bằng tài khoản email của mình đã đăng nhập vào ứng dụng mã độc.
Theo các nhà nghiên cứu về an ninh mạng tại ZecOps, các lỗi này nằm trong thư viện MIME của ứng dụng Mail trên iPhone hay iPad. Mặc dù cả hai lỗ hổng đều được kích hoạt trong khi xử lý nội dung của email, lỗ hổng thứ hai nguy hiểm hơn vì nó có thể bị khai thác mà không cần tương tác từ nạn nhân.
Theo các nhà nghiên cứu, cả hai lỗ hổng tồn tại trong các mẫu iPhone và iPad khác nhau trong 8 năm qua kể từ khi iOS 6 được ra mắt và thật không may, nó tồn tại đến cả iOS 13.4.1 mới nhất nên có thể nói nó chưa được vá lỗi.
Điều đáng lo ngại hơn là nhiều nhóm hacker đã khai thác những lỗ hổng này trong ít nhất 2 năm qua để nhắm vào các cá nhân từ các ngành và tổ chức khác nhau.
“Với dữ liệu hạn chế, chúng tôi thấy có ít nhất sáu tổ chức đã bị khai thác bởi lỗ hổng này – và phạm vi lạm dụng toàn bộ lỗ hổng này là rất lớn”, các nhà nghiên cứu cho biết.
Theo các nhà nghiên cứu, người dùng Apple có thể khó biết liệu họ có bị nhắm mục tiêu như một phần của các cuộc tấn công mạng này hay không vì kẻ tấn công xóa email chứa mã độc ngay sau khi truy cập từ xa vào thiết bị của nạn nhân.
Tuy nhiên, để kiểm soát hoàn toàn thiết bị từ xa, hacker cần kết hợp nó với một lỗ hổng riêng liên quan đến nhân hệ thống (kernel). Các nhà nghiên cứu đã phát hiện ra các cuộc tấn công này khoảng hai tháng trước và báo cáo với nhóm bảo mật của Apple.
Tại thời điểm viết bài, chỉ có phiên bản beta 13.4.5 của iOS, được phát hành vào tuần trước, chứa các bản vá bảo mật cho cả các lỗ hổng này.
Đối với hàng triệu người dùng iPhone và iPad, một bản vá phần mềm cụ thể là iOS 13.4.5 sẽ sớm được cung cấp. Trong khi đó, người dùng Apple được khuyến cáo không nên sử dụng ứng dụng Mail trên điện thoại của mình hoặc tạm thời chuyển sang ứng dụng Outlook hoặc Gmail.
Theo TheHackerNews