Cảnh báo an ninh mạng được đưa ra bởi  công ty nghiên cứu bảo mật ZecOps sau khi các chuyên gia của công ty này phát hiện ra lỗ hổng bảo mật trong ứng dụng mail của Apple cho phép tin tặc tấn công phát tán phần mềm độc hại trên các thiết bị chạy hệ điều hành iOS mà không cần người dùng làm bất cứ điều gì như nhấn vào một liên kết hoặc tải xuống một tệp tin.

Đây là lỗ hổng zero-click, không đòi hỏi người dùng phải tương tác với email mà thay vào đó, nó sẽ được kích hoạt một khi nạn nhân nhận được email hoặc mở ứng dụng Mail. Gmail và các ứng dụng thư khác không bị ảnh hưởng.

Lỗ hổng cho phép khởi chạy mã từ xa của MobileMail (iOS 12) hoặc maild (iOS 13). Nếu khai thác thành công, tin tặc có thể làm lộ, chỉnh sửa hay xóa email của người dùng. Nó không cấp quyền kiểm soát toàn bộ thiết bị.

Theo các chuyên gia của ZecOps, lỗ hổng được tìm ra trong quá trình điều tra một cuộc tấn công mạng vào cuối năm 2019. Điều nguy hiểm hơn, trong suốt hai năm qua, nhiều bằng chứng cho thấy tin tặc đã lợi dụng lỗ hổng này để thực hiện nhiều vụ tấn công người dùng iPhone. 

Một thống kê chưa đầy đủ cho thấy đã có ít nhất 6 vụ tấn công liên quan đến lỗ hổng trên trong thời gian vừa qua. Trong đó, các "nạn nhân" của tin tặc đến từ nhiều quốc gia như Nhật bản, Israel, Mỹ và cả châu Âu.

Hiện Apple chưa đưa ra phản hồi chính thức nào liên quan đến lỗ hổng của ứng dụng Apple Mail vừa được ZecOps cảnh báo.

B.Châu (t/h)