Hacker Trung Quốc công bố POC cho lỗi bẻ khóa từ xa trên iPhone X

[sunny]

Các nhà nghiên cứu hôm nay vừa công bố chi tiết lỗ hổng nghiêm trọng trên trình duyệt Safari của Apple và iOS có thể cho phép hacker tấn công bẻ khóa tư xa trên iPhone X chạy hệ điều hành iOS 12.1.2 và những phiên bản trước đó.
Để thực hiện tấn công, hacker lừa người dùng iPhone X truy cập một trang web giả mạo sử dụng trình duyệt Safari.
Tuy nhiên, việc tìm ra lỗ hổng và tạo ra một công cụ khai thác để thực hiện các cuộc tấn công như vậy không dễ dàng.
Được phát hiện bởi nhà nghiên cứu bảo mật Qixun Zhao thuộc Nhóm Vulcan của Qihoo 360, việc khai thác hai lỗ hổng bảo mật được chứng minh lần đầu tiên tại cuộc thi hack TianfuCup được tổ chức vào tháng 11 năm ngoái và sau đó được báo tới nhóm bảo mật Apple.
Zhao đã công bố video bằng chứng về việc khai thác của mình, được đặt tên là "Chaos", sau khi Apple vừa phát hành phiên bản iOS 12.1.3 để vá các lỗi này.

Như trong video, việc khai thác bẻ khóa iPhone X, lỗ hổng trên Safari đã cho phép mã độc thực thi mã tùy ý trên thiết bị mục tiêu, sau đó sử dụng lỗi thứ hai để nâng cao đặc quyền và cài đặt ứng dụng độc hại một cách im lặng.
Tuy nhiên, nhà nghiên cứu đã chọn không công bố chi tiết việc jailbreak iOS đê phòng các cuộc tấn công đối với người dùng Apple.
Tại thời điểm này, người dùng iPhone nên cài đặt bản cập nhật iOS mới nhất càng sớm càng tốt.

Theo: The HackerNews​