Theo Vietnam+ đưa tin, Nhật báo Phố Wall dẫn một báo cáo nghiên cứu của công ty nghiên cứu bảo mật ZecOps cho biết một lỗ hổng mới được phát hiện trong ứng dụng Mail cho phép kẻ tấn công phát tán phần mềm độc hại trên thiết bị iOS mà không cần người dùng làm bất cứ điều gì như nhấn vào một liên kết hoặc tải xuống một tệp tin.
Các nhà nghiên cứu bảo mật của ZecOps không nêu chính xác cách thức hoạt động của cuộc tấn công qua Mail, nhưng cho biết nó có thể sẽ liên quan đến việc gửi một thông điệp được thiết kế đặc biệt.
Việc khai thác lỗ hổng trên có thể đã được tin tặc sử dụng trong một thời gian. ZecOps cho biết họ có bằng chứng kẻ tấn công đã sử dụng lỗ hổng trong ít nhất hai năm.
Theo đưa tin, ZecOps tin rằng có ít nhất 6 nạn nhân là những công ty lớn trên thế giới, trong đó có một nhà mạng ở Nhật, và nhiều công ty nằm trong danh sách Fortune 500 ở Bắc Mỹ. Công ty bảo mật này từ chối tiết lộ tên của các nạn nhân vì vấn đề riêng tư, và cho biết sẽ không thể nào khống chế được mã độc vì các e-mail độc hại đã bị các tin tặc xoá bỏ từ xa.
“Các cuộc tấn công được thực hiện bằng cách gửi đoạn email đặc biệt tới hòm thư nạn nhân, để kích hoạt lỗ hổng trong ứng dụng Mail của iOS trên nền tảng iOs 12 hoặc iOS 13”, bản báo cáo cho biết.
Theo ZecOps, lỗ hổng này liên quan đến ít nhất 2 lỗi zero-day chưa được sửa trên ứng dụng Mail của iOS 6 ra mắt từ năm 2012.
Tuy nhiên, ở thời điểm này, việc ZecOps chưa công khai bằng chứng cho thấy lỗ hổng này đã bị hai thác khiến các nhà nghiên cứu bảo mật khác đặt câu hỏi về sự chính xác của cảnh báo trên.
Điều nghiêm trọng ở lỗi này nếu đúng thực tế thì tin tặc không cần phải yêu cầu nạn nhân tải file hay truy cậ và website nhiễm độc. Thay vào đó, kẻ xấu có thể yêu cầu thực thi lệnh truy cập từ xa trên máy của nạn nhân khi đã nhận được e-mail chứa mã độc.
“Để giảm thiểu nguy cơ bị tấn công, người dùng cần phải sử dụng bản iOS beta mới nhất. Nếu bạn đang dùng bản beta hiện tại thì nguy cơ bị tấn công cao, vì vậy nên vô hiệu hoá ứng dụng Mail và sử dụng Outlook hoặc Gmail để thay thế”, ZecOps nhấn mạnh.
Apple từ chối bình luận về phát hiện trên.
Phong Linh (tổng hợp)