iMessage dính lỗi bảo mật nghiêm trọng, có thể khai thác bằng lỗ hổng Zero-Day

Hiện tại, vẫn chưa rõ phần mềm Pegasus có thể tấn công vào các mẫu iPhone chạy iOS 14 hay không, tuy nhiên bạn nên cập nhật lên iOS mới nhất để tránh bị hacker ghé thăm.

Theo báo cáo mới nhất, vào hồi tháng 7 và tháng 8 năm 2020, phần mềm gián điệp Pegasus của NSO Group đã được bên thứ ba sử dụng để hack iPhone của 36 nhà báo, producer và nhân viên làm việc tại AI Jazeera. Các thiết bị này đã bị tấn công thông qua lỗ hổng Zero-Click của phần mềm iMessage có tên là KISMET. Thậm chí, lỗ hổng còn tồn tại trên dòng iPhone 11 chạy iOS 13.5.1 - phiên bản mới nhất của iOS 13 vào thời điểm đó.

Nếu như bạn chưa biết, Pegasus của NSO Group là phần mềm gián điệp được sử dụng để giám sát smartphone từ xa. Họ bán dịch vụ của mình cho nhiều cơ quan chính phủ và cơ quan thực thi pháp luật trên toàn thế giới.

Kể từ năm 2016, tình trạng khai thác lỗi hổng zero-click để tấn công vào iPhone ngày một gia tăng. Nhiều hacker đã nhắm mục tiêu vào iMessage vì nó được cài sẵn trên tất cả các sản phẩm của Apple. Trước đó, iPhone XS Max của Rania Dridi - một nhà báo của AI Araby TV, đã bị tấn công hơn sáu lần kể từ tháng 10/2019 đến tháng 7/2020 bằng cách sử dụng phần mềm gián điệp Pegasus, nhưng là lỗ hỗng zero-day.

Đối với các trường hợp khác, phiên bản iOS đều mới hơn nên không rõ có phải hacker đã khai thác bằng zero-day hay không. Hai cuộc tấn công được thực hiện vào tháng 7 đều khai thác bằng zero-click KISMET.

Quan trọng hơn, sau khi cài cấy lên iPhone, phần mềm Pegasus có thể ghi lại âm thanh xung quanh, âm thanh cuộc gọi đã được mã hóa, chụp ảnh bằng camera, theo dõi vị trí thiết bị, truy cập mật khẩu và các thông tin đăng nhập được lưu trữ trên điện thoại.