Rất nhiều lỗ hổng của Apple bị Google phát hiện

Lỗ hổng được tìm thấy sau lúc các nhà nghiên cứu truy cập vào framework Image I/O trên tất cả nền tảng của Apple, cho dù là iOS, macOS, watchOS và thậm chí cả tvOS. Image I/O được dùng làm phân tích cú pháp và xử lý các tệp siêu dữ liệu hình ảnh. Khi bạn nhận được hình ảnh qua tin nhắn hay email, Image I/O sẽ xử lý qui trình phân tích cú pháp để tìm ra định dạng cơ bản của tệp. Vì công đoạn này được tự động hóa và không đòi hỏi bất kỳ tương tác nào của người dùng, tin tặc có thể cài mã độc vào các tệp hình ảnh và khai thác lỗ hổng bảo mật.

Nhờ kỹ thuật có tên “fuzzing”, nhóm kỹ sư Google đã kiểm tra cách framework Image I/O xử lý các tệp hình ảnh không đúng định dạng. Quá trình fuzzing đã cho ra sáu lỗ hổng bảo mật trong Image I/O và tám lỗ hổng khác ở định dạng ảnh của bên thứ ba OpenEXR.

Hệ sinh thái Apple

Ngoài những lỗ hổng được khai thác từ những phần mềm nhắn tin bên thứ ba, phần mềm hệ thống và mã nguồn hệ điều hành đã tạo lỗ hổng để tin tặc tấn công.

Sau đó, Google đã mau chóng báo lỗi cho Apple và công ty đã vá thông qua các bản cập nhật phần mềm. Các lỗi về Image I/O đã được khắc phục bằng các bản vá bảo mật vào tháng 1 và tháng 4 năm nay, khi đang các lỗi OpenEXR đã được vá trong phiên bản iOS 13.4.1. Tuy nhiên nhà nghiên cứu Samuel Groß từ nhóm Project Zero cho thấy dù tất cả các lỗi mà Google tìm ra trong hệ thống Apple đều đã được vá, một số lỗ hổng với cách khai thác tương tự vẫn xuất hiện giúp tin tặc dễ dàng tấn công.

Như vậy, không có hệ điều hành nào là an toàn mọi lúc, vì vậy người sử dụng nên giữ thiết bị luôn được cập nhật bản vá bảo mật và phiên bản hệ điều hành mới nhất. Từ đó giúp tin tức người sử dụng luôn được bảo quản trước sự tấn công của tin tặc.