#Apple #sựkiện #bảo mật #lỗizero-click #hacker #điệnthoạiiPhone #điệnthoạiiPad #cáiđặtvụBlastpass #CitizenLab #đạihọclưuôngToronto #Pegasus #phầnmềmđọcđơn,đứnghạch #bảopmật #tinmẩn #SMS #cuộcgọi #ảnh #vịtrí #cậpnhậtbảo mật #PháttriểnvíApple #hướngdẫn #iOS 16.6.1 #iPadOS 16.6.1 #mô-đunpháttriển #ApplePay #tấn côngzero-click #cậpnhậthệđiều hành #
Theo bài báo của Engadget, Apple đã phát hành một bản cập nhật bảo mật quan trọng cho iOS 16 nhằm khắc phục một lỗ hổng có thể cho phép hacker chiếm quyền kiểm soát iPhone hoặc iPad của bạn mà không cần sự chấp thuận của bạn. Sự lỗ hổng này ban đầu được phát hiện bởi Citizen Lab, một đơn vị nghiên cứu số thuộc Đại học Toronto và được gọi là ‘Blastpass’.
Lỗ hổng này cho phép kẻ xấu cài đặt phần mềm gián điệp Pegasus của NSO Group lên iPhone của nạn nhân mà họ không hề hay biết. Pegasus là một công cụ mạnh mẽ có thể truy cập gần như mọi thứ trên thiết bị mục tiêu, bao gồm tin nhắn văn bản, cuộc gọi, ảnh, vị trí và nhiều hơn nữa. Đã từng có sự cố tương tự xảy ra với Pegasus trên iPhone vào năm 2021 và sau đó đã được khắc phục qua một bản cập nhật hệ điều hành.
Theo Citizen Lab cho biết, họ đã phát hiện ra rằng Pegasus đã được cài đặt trên iPhone của một nhân viên thuộc một tổ chức đặt tại Washington DC thông qua việc gửi một tệp đính kèm độc hại qua iMessage. Cuộc tấn công này đã thành công trên các thiết bị đang chạy phiên bản mới nhất của iOS 16.6 và không đòi hỏi bất kỳ tương tác nào từ nạn nhân.
Citizen Lab đã báo cáo vấn đề này cho Apple và sau đó công ty đã nhanh chóng phát hành iOS 16.6.1 và iPadOS 16.6.1 để khắc phục lỗ hổng này.
Theo nhận định của Citizen Lab, sự khai thác Blastpass được cho là liên quan đến PassKit, một công cụ phát triển mạng đã cho phép các nhà phát triển tích hợp Apple Pay vào ứng dụng của họ. PassKit này có thể được truyền đến người bị hại thông qua iMessage và xâm nhập vào điện thoại của nạn nhân mà không cần họ thực hiện bất kỳ hành động nào.
Người dùng Apple được khuyến cáo cập nhật thiết bị của mình lên phiên bản phần mềm mới nhất để bảo vệ bản thân khỏi các mối đe dọa tiềm ẩn.
Trước đó trong năm nay, hacker đã sử dụng lời mời lịch có chứa phần mềm gián điệp để tấn công vào iPhone. Đọc thêm về vụ việc này tại đây.
Nguồn: Citizen Lab, Engadget
Apple has rolled out a critical security update for iOS 16 that fixes a vulnerability that could allow hackers to take over your iPhone or iPad without your knowledge.
The vulnerability was first discovered by Citizen Lab, a digital research unit at the University of Toronto, and it is dubbed ‘Blastpass,’ as shared by Engadget.
The exploit allowed bad actors to install NSO Group’s Pegasus Spyware on an unsuspecting victim’s iPhone. Pegasus is a powerful tool that can access almost everything on a target’s device, including text messages, calls, photos, location, and more. It was previously found on iPhones in 2021, and was subsequently taken care of with an OS update.
According to Citizen Lab, it found that Pegasus was installed on the iPhone of an employee of a Washington DC-based organization using a malicious attachment sent by iMessage. The attack worked on devices running the latest version of iOS 16.6, and required no interaction from the victim at all.
Citizen Lab reported the issue to Apple, which quickly released iOS 16.6.1 and iPadOS 16.6.1 to address it.
The Blastpass exploit is believed to involve PassKit, an SDK that allows developers to integrate Apple Pay into their apps. The SDK can then reportedly be transmitted to a victim via iMessage, and it infects the victim’s phone without them taking any action.
Apple users are advised to update their devices to the latest software to protect themselves from potential threats.
Earlier this year, hackers used spyware-infected calendar invites to target iPhones. Read more about it here.
Source: Citizen Lab Via: Engadget
[ad_2]
