Nhóm chuyên tìm lỗi Project Zero của Google đã phát hiện loạt lỗ hổng bảo mật “zero-click” trên iPhone và các sản phẩm phần cứng nhà Táo.
Lỗ hổng được tìm thấy sau khi các nhà nghiên cứu truy cập vào framework Image I/O trên tất cả nền tảng của Apple, bao gồm iOS, macOS, watchOS và thậm chí cả tvOS. Image I/O được dùng để phân tích cú pháp và xử lý các tệp siêu dữ liệu hình ảnh.
Google đã tìm ra lỗ hổng trên hệ sinh thái Apple. Ảnh: DailyTekk.
Khi bạn nhận được hình ảnh qua tin nhắn hay email, Image I/O sẽ xử lý quá trình phân tích cú pháp để tìm ra định dạng cơ bản của tệp. Vì quá trình này được tự động hóa và không yêu cầu bất kỳ tương tác nào của người dùng, tin tặc có thể cài mã độc vào các tệp hình ảnh và khai thác lỗ hổng bảo mật.
Thông qua một kỹ thuật có tên “fuzzing”, nhóm kỹ sư Google đã kiểm tra cách framework Image I/O xử lý các tệp hình ảnh không đúng định dạng. Quá trình fuzzing đã cho ra sáu lỗ hổng bảo mật trong Image I/O và tám lỗ hổng khác ở định dạng ảnh của bên thứ ba OpenEXR.
Bên cạnh những lỗ hổng được khai thác từ các ứng dụng nhắn tin bên thứ ba, ứng dụng hệ thống và mã nguồn hệ điều hành đã tạo lỗ hổng để tin tặc tấn công.
Google đã nhanh chóng báo lỗi cho Apple và công ty đã vá thông qua các bản cập nhật phần mềm. Các lỗi về Image I/O đã được khắc phục bằng các bản vá bảo mật vào tháng 1 và tháng 4 năm nay, trong khi các lỗi OpenEXR đã được vá trong phiên bản iOS 13.4.1.
Tuy nhiên nhà nghiên cứu Samuel Groß từ nhóm Project Zero cho biết dù tất cả các lỗi mà Google tìm ra trong hệ thống Apple đều đã được vá, một số lỗ hổng với cách khai thác tương tự vẫn xuất hiện giúp tin tặc dễ dàng tấn công.
Qua đây cho thấy không có hệ điều hành nào là an toàn mọi lúc, vì thế người dùng nên giữ thiết bị luôn được cập nhật bản vá bảo mật và phiên bản hệ điều hành mới nhất. Từ đó giúp thông tin người dùng luôn được bảo vệ trước sự tấn công của tin tặc.
Lỗ hổng được tìm thấy sau khi các nhà nghiên cứu truy cập vào framework Image I/O trên tất cả nền tảng của Apple, bao gồm iOS, macOS, watchOS và thậm chí cả tvOS. Image I/O được dùng để phân tích cú pháp và xử lý các tệp siêu dữ liệu hình ảnh.
Google đã tìm ra lỗ hổng trên hệ sinh thái Apple. Ảnh: DailyTekk.
Khi bạn nhận được hình ảnh qua tin nhắn hay email, Image I/O sẽ xử lý quá trình phân tích cú pháp để tìm ra định dạng cơ bản của tệp. Vì quá trình này được tự động hóa và không yêu cầu bất kỳ tương tác nào của người dùng, tin tặc có thể cài mã độc vào các tệp hình ảnh và khai thác lỗ hổng bảo mật.
Thông qua một kỹ thuật có tên “fuzzing”, nhóm kỹ sư Google đã kiểm tra cách framework Image I/O xử lý các tệp hình ảnh không đúng định dạng. Quá trình fuzzing đã cho ra sáu lỗ hổng bảo mật trong Image I/O và tám lỗ hổng khác ở định dạng ảnh của bên thứ ba OpenEXR.
Bên cạnh những lỗ hổng được khai thác từ các ứng dụng nhắn tin bên thứ ba, ứng dụng hệ thống và mã nguồn hệ điều hành đã tạo lỗ hổng để tin tặc tấn công.
Google đã nhanh chóng báo lỗi cho Apple và công ty đã vá thông qua các bản cập nhật phần mềm. Các lỗi về Image I/O đã được khắc phục bằng các bản vá bảo mật vào tháng 1 và tháng 4 năm nay, trong khi các lỗi OpenEXR đã được vá trong phiên bản iOS 13.4.1.
Tuy nhiên nhà nghiên cứu Samuel Groß từ nhóm Project Zero cho biết dù tất cả các lỗi mà Google tìm ra trong hệ thống Apple đều đã được vá, một số lỗ hổng với cách khai thác tương tự vẫn xuất hiện giúp tin tặc dễ dàng tấn công.
Qua đây cho thấy không có hệ điều hành nào là an toàn mọi lúc, vì thế người dùng nên giữ thiết bị luôn được cập nhật bản vá bảo mật và phiên bản hệ điều hành mới nhất. Từ đó giúp thông tin người dùng luôn được bảo vệ trước sự tấn công của tin tặc.
Theo Zing
