Khai thác lỗ hổng zero-day của iMessage được rao bán trên web đen với mức giá 2 triệu USD.
Các nhà nghiên cứu cảnh báo những kẻ tấn công chiếm lấy iPhone mà không cần sự tương tác của người dùng hoặc nhấp vào bất kỳ liên kết nào.
Trust Wallet kêu gọi người dùng iPhone vô hiệu hóa iMessage do lỗ hổng này nhưng một số chuyên gia bảo mật nghi ngờ tuyên bố này.
Các nhà nghiên cứu bảo mật đang lưu hành thông tin về một lỗ hổng zero-day tiềm năng nhắm vào ứng dụng iMessage của Apple. Eowyn Chen, một nhà nghiên cứu bảo mật, lần đầu tiên đăng một tweet khẳng định thông tin về việc khai thác đã được bán trên web đen với giá đáng kinh ngạc là 2 triệu USD.
Trust Wallet, nhà cung cấp ví tiền điện tử, kể từ đó đã khuếch đại cảnh báo bằng một loạt tweet. Trust Wallet tuyên bố có “thông tin đáng tin cậy” về việc khai thác và cảnh báo người dùng rằng nó có thể xâm nhập vào iPhone “mà người dùng không cần nhấp vào bất kỳ liên kết nào”.
2/2: 🚨 Hành động được đề xuất để ngăn chặn hành vi khai thác iMessage này; vô hiệu hóa iMessages càng sớm càng tốt cho đến khi Apple vá lỗi này. Điều hướng đến Cài đặt -> Tin nhắn -> tắt iMessage. Duy trì biện pháp phòng ngừa này cho đến khi Apple phát hành bản vá bảo mật. An ninh của bạn là ưu tiên của chúng tôi. Hãy #SAFU…
— Ví Trust (@TrustWallet) Ngày 15 tháng 4 năm 2024
Công ty tiếp tục khuyến nghị vô hiệu hóa hoàn toàn iMessage như một “biện pháp phòng ngừa cho đến khi Apple phát hành bản vá bảo mật”. Khuyến nghị này đã vấp phải sự hoài nghi của một số chuyên gia bảo mật, những người đặt câu hỏi về tính hợp pháp của thông tin.
Việc khai thác zero-day đặc biệt nguy hiểm vì các nhà phát triển phần mềm không biết về lỗ hổng này, khiến họ không có bản vá để khắc phục. Cách khai thác cụ thể này được cho là cho phép kẻ tấn công chiếm quyền kiểm soát hoàn toàn iPhone của nạn nhân mà không cần bất kỳ sự tương tác nào của người dùng.
Không có xác nhận chính thức nào từ Apple về sự tồn tại của cách khai thác này. Apple thường phát hành các bản vá bảo mật thường xuyên để giải quyết các lỗ hổng trong phần mềm của mình. Điều quan trọng là người dùng iPhone phải luôn cập nhật thiết bị của mình lên phiên bản phần mềm mới nhất để đảm bảo chúng được bảo vệ khỏi các hoạt động khai thác đã biết.
Mặc dù độ tin cậy của cảnh báo cụ thể từ Trust Wallet vẫn còn bị nghi ngờ nhưng nó đóng vai trò như một lời nhắc nhở về tầm quan trọng của việc cảnh giác an ninh mạng. Gần đây, ZachXBT, người tự gọi mình là thám tử 2D trong ngành công nghiệp tiền điện tử, đã đưa ra cảnh báo trong cộng đồng tiền điện tử về một nhóm bị nghi ngờ là kẻ lừa đảo hàng loạt. Trong một loạt tweet vào cuối tuần qua, ZachXBT đã đề cập rằng những kẻ lừa đảo đã xuất hiện trở lại trong hệ sinh thái blockchain, lừa gạt những người dùng không nghi ngờ trên nhiều giao thức khác nhau.
Bài đăng Cảnh báo khai thác Zero-Day trên diện rộng trong cuộc tranh luận trong cộng đồng xuất hiện đầu tiên trên Coin Edition.
