Công ty bảo mật Check Point đã tiết lộ rằng họ đã tìm ra cách hack mới có tác dụng trên mọi iPhone và iPad chạy iOS 8 đến iOS 13 beta bản mới nhất.
Theo Tim Cook, hiện tại có khoảng 1,4 tỉ thiết bị iOS đang hoạt động trên phạm vi toàn thế giới. Và đây sẽ là con số ảnh hưởng của lỗ hổng bảo mật trên.
Theo đó, Check Point đã phát hiện ra là ứng dụng Danh bạ được tích hợp trong iOS được quản lý bằng cơ sở dữ liệu SQLite. Và CSDL này có thể bị khai thác để chạy mã độc có khả năng đánh cắp dữ liệu và mật khẩu của người dùng.
“SQLite là công cụ cơ sở dữ liệu có phạm vi rộng nhất trên thế giới,” Check Point cho biết. “Nó có sẵn trong mọi hệ điều hành, máy tính để bàn và điện thoại di động. Windows 10, macOS, iOS, Chrome, Safari, Firefox và Android là những người dùng phổ biến của SQLite.”
Nhưng điều gây sốc thực sự là tại sao lỗ hổng ứng dụng Danh bạ tồn tại: nó tận dụng một lỗi đã biết trên SQLite và đã được vá lỗi trên nhiều nền tảng, nhưng Apple lại sơ sót không sửa nó trong bốn năm nay.
Có nhiều người đánh giá lỗi này không dễ để tiến hành khai thác. Tuy nhiên các nhà nghiên cứu của Check Point sau đó đã tạo một ứng dụng có thể gửi mã để kích hoạt lỗi này và khai thác nó.
Còn nhớ vào tháng trước, sáu lỗ hổng đã được tìm thấy trong iMessage cho phép tin tặc đọc các tập tin của bạn từ bất cứ đâu và một trong số chúng vẫn chưa được sửa chữa cho đến thời điểm này. Với việc Apple tập trung lấy việc bảo vệ thông tin cá nhân, an ninh là đặc điểm sản phẩm của mình thì một lỗ hổng không được vá trong bốn năm sẽ phần nào ảnh hưởng đến tiêu chí này.