Zuk Avraham, cựu nhân viên nghiên cứu an ninh của Lực lượng Quốc phòng Israel, giám đốc điều hành của công ty an ninh di động ZecOps có trụ sở tại San Francisco, hôm 22/4 tuyên bố, trong khi điều tra một cuộc tấn công mạng vào cuối năm 2019 đã tìm thấy bằng chứng về sự tồn tại của một lỗ hổng được khai thác trong ít nhất 6 vụ tấn công mạng trên thiết bị iPad.
Phản hồi về tuyên bố trên, Apple mới đây cho biết hãng này đã không phát hiện ra bất kỳ bằng chứng nào cho thấy có sự tồn tại của lỗi bảo mật trong ứng dụng Mail như Zuk Avraham đã công bố trước đó.
“Chúng tôi không tìm thấy bằng chứng lỗ hổng được dùng để chống lại người dùng,” Apple nói. Apple bên cạnh đó bày tỏ sự hoài nghi rằng liệu lỗ hổng bảo mật lần này có đủ lớn để hacker có thể vượt qua những bức tường an ninh của các thiết bị như iPhone hay iPad.
Tuy nhiên, trong tuyên bố của Zuk Avraham, chuyên viên bảo mật cho biết, ông đã tìm thấy bằng chứng cho thấy một chương trình độc hại đã lợi dụng lỗ hổng trong hệ điều hành di động Apple iOS từ tháng 1/2018.
Về phần mình, Apple khẳng định lỗi mà ZecOps nói đến có thể đã tồn tại tử thời iOS 6 và sẽ được hãng này sửa lỗi ngay trong phiên bản iOS tiếp theo. Bên cạnh đó, nó cũng không gây ra bất kì một rủi ro mang tính cấp bạch nào cho người dùng. Trước đó, ZecOps nói Apple đã xử lý vấn đề trong một phiên bản beta của ứng dụng Mail.
Theo ZecOps, vụ tấn công lần này khó bị phát hiện bởi tính chất khéo léo và phức tạp của nó. Thông thường, một vụ tấn công điện thoại sẽ yêu cầu người dùng phải thực hiện một hành động nào đó để tải về phần mềm, ví dụ như click vào một tin nhắn hoặc ghé thăm một website. Song ở trường hợp này, hacker đã tìm được cách cài phần mềm độc hại lên điện thoại mà người nhận không phải làm bất kì việc gì.
Hacker theo đó sẽ gửi một email được soạn thảo đặc biệt để truy cập được vào thiết bị của người nhận thư. Lỗ hổng được khai thác ngay khi thư được tải về. ZecOps cho biết hãng này thực hiện nghiên cứu của mình dựa trên các dấu vết còn lại sau một vụ tấn công hệ điều hành của iPhone thay vì thông qua bản thân phần mềm độc hại. Công ty này cũng không thể có được đoạn mã độc hại vì email được dùng để tấn công đã bị xoá khỏi thiết bị của nạn nhân.
ZecOps cho biết, lỗ hổng này đã cho phép tin tặc đánh cắp dữ liệu từ xa trên iPhone ngay cả khi thiết bị đã được cập nhật phiên bản iOS mới nhất. Lỗ hổng sẽ cấp quyền truy cập vào bất cứ thứ gì mà ứng dụng Mail có quyền truy cập, bao gồm cả tin nhắn bí mật.
Bình An