Ứng dụng email mặc định được cài đặt sẵn trên hàng triệu chiếc iPhone và iPad hiện có 2 lỗ hổng nghiêm trọng mà hacker có thể lợi dụng để âm thầm chiếm quyền kiểm soát các thiết bị từ xa thông qua việc gửi email đến người dùng.
Theo các nhà nghiên cứu an ninh mạng tại ZecOps, các lỗ hổng nói trên liên quan đến vấn đề ghi tràn (out-of-bound write) và tràn bộ nhớ từ xa (remote heap overflow), một trong số chúng là lỗi "zero-click" cực kỳ nguy hiểm, có thể bị lợi dụng mà không cần bất kỳ tương tác nào từ những người nhận được email.
Cả hai lỗi thực thi mã từ xa nằm trong thư viện MIME của ứng dụng email đều có thể được kích hoạt trong khi đang xử lý nội dung email. Những lỗi này đã tồn tại trong suốt 8 năm qua, kể từ khi iOS 6 ra mắt, và ảnh hưởng đến cả iOS 13.4.1 mới nhất.
Đáng lo ngại hơn nữa là nhiều nhóm hacker đã và đang tận dụng các lỗi này trong ít nhất 2 năm qua để nhắm vào những người dùng cá nhân làm việc trên nhiều lĩnh vực và trong các tổ chức, MSSP khác nhau từ Ả-rập Saudi và Israel, cho đến giới phóng viên tại châu Âu.
"Với lượng dữ liệu rất hạn chế, chúng tôi đã có thể thấy được ít nhất 6 tổ chức bị tác động bởi lỗ hổng này – và quy mô tác động của lỗ hổng này là cực kỳ rộng lớn" – các nhà nghiên cứu nói.
"Dù ZecOps chưa khẳng định được những cuộc tấn công này do một cá nhân cụ thể nào thực hiện, chúng tôi nắm được rằng có ít nhất một tổ chức ‘hacker đánh thuê’ đang bán các công cụ lợi dụng các lỗ hổng liên quan địa chỉ email".
Theo các nhà nghiên cứu, rất khó để người dùng Apple biết được liệu họ đã từng bị nhắm đến bởi các cuộc tấn công mạng kia hay chưa, bởi các hacker đã xóa ngay email độc hại sau khi nắm được quyền truy xuất từ xa vào thiết bị của nạn nhân.
"Đáng lưu ý là, dù dữ liệu xác nhận rằng các email bị lợi dụng đã được nhận và xử lý bởi thiết bị iOS của nạn nhân, các email tương ứng lẽ ra đã được nhận và lưu trữ trên máy chủ email lại biến mất. Do đó, chúng tôi đoán rằng những email này đã bị xóa có chủ đích như một phần trong kế hoạch dọn dẹp hiện trường sau một vụ tấn công" – các nhà nghiên cứu nói.
"Ngoài việc ứng dụng email trên di động tạm thời bị chậm lại một chút, người dùng sẽ không quan sát thấy bất kỳ hành vi bất thường nào khác".
Sau khi lợi dụng lỗ hổng thành công, hacker sẽ chạy một đoạn mã độc cùng với ứng dụng MobileMail hoặc Maild, cho phép chúng "làm rò rỉ, chỉnh sửa, và xóa email". Tuy nhiên, để nắm quyền điều khiển hoàn toàn thiết bị từ xa, hacker cần kết hợp nó với một lỗ hổng bảo mật khác trong nhân hệ thống.
ZecOps phát hiện ra những lỗ hổng và các cuộc tấn công nói trên từ gần 2 tháng trước và đã báo cáo với nhóm bảo mật của Apple.
Đến thời điểm này, chỉ có phiên bản iOS 13.4.5 beta vừa được tung ra hồi tuần trước là có chứa các bản vá bảo mật khác phục cả hai lỗ hổng zero-day này.
Đối với người dùng iPhone và iPad nói chung, họ sẽ sớm nhận được một bản vá phần mềm trong phiên bản cập nhật iOS sắp tới. Nhưng trong quá trình chờ đợi, tốt nhất bạn không nên sử dụng ứng dụng email tích hợp sẵn nữa, thay vào đó hãy sử dụng Outlook hoặc Gmail.
Tham khảo: TheHackerNews