Hacker có thể bắt iPhone của bạn tự động gọi điện và vét sạch tài khoản điện thoại

Nguyễn Hải,  

Điều nguy hiểm là nó quá đơn giản để tiến hành.

Nếu bạn đang sở hữu một chiếc iPhone, giờ là lúc bạn nên cẩn thận. Hiện có ít nhất một lỗ hổng bảo mật trên thiết bị này có thể bị khai thác để gây hại cho bạn. Theo các nhà nghiên cứu bảo mật, những người đã khám phá ra lỗ hổng này trên iOS, nó có thể bị lợi dụng để tấn công từ bất cứ ứng dụng nhắn tin nào hiện có trên App Store của Apple. Và chắc chắn số lượng các ứng dụng đó là không nhỏ.

Hai ngày trước, sau hàng loạt thông báo đến các công ty có liên quan nhưng nhận được rất ít những phản hồi tích cực, nhà nghiên cứu bảo mật Colin Mulliner đã tiết lộ về lỗ hổng này trong một bài đăng trên blog của mình. Lỗi này tồn tại trong một thành phần của iOS có tên gọi WebView, một thành phần cho phép các nhà phát triển hiển thị nội dung nền web bên trong ứng dụng của riêng họ bằng cách sử dụng trình duyệt Safari.

Theo ông Mulliner, cuộc tấn công rất dễ thực hiện. “Nó được thực hiện rất đơn giản. Bất kỳ ai cũng có thể làm được.” Tất cả những gì hacker cần làm chỉ là gửi một đường dẫn tới một trang web có chứa các đoạn mã HTML được thiết kế đặc biệt. Khi nạn nhân chạm vào đường link đó, đoạn mã sẽ được thực thi và chiếc iPhone bị nhiễm mã độc sẽ tự động thực hiện một cuộc gọi.

Dưới đây là phần trình diễn của ông cho thấy lỗ hổng được khai thác bên trong ứng dụng của Twitter như thế nào:

Lỗ hổng được khai thác qua ứng dụng Twitter trên iPhone.

Lỗ hổng này cũng có thể được khai thác trong ứng dụng LinkedIn:

Lỗ hổng được khai thác qua ứng dụng LinkedIn trên iPhone.

Điều nguy hiểm gì có thể xảy ra khi chiếc điện thoại của bạn tự động thực hiện cuộc gọi như trên? Nếu bạn không chú ý, một kẻ tấn công có thể cài đặt để điện thoại của bạn gọi đến các số điện thoại có cước phí cao, và làm cạn sạch số tiền trong tài khoản của bạn.

Kịch bản này dường như chỉ là sự cường điệu quá mức, nhưng trên thực tế không phải vậy. Trong nhiều năm qua, hàng loạt malware đã xuất hiện với khả năng bí mật gửi các tin nhắn SMS và MMS để ăn trộm tiền từ các nạn nhân.

Không những vậy, nếu các hacker nhận ra rằng có cách để biến một lỗ hổng thành một cơ hội kiếm tiền – cho dù đó là một số tiền nhỏ - chắc ít khi chúng bỏ qua việc khai thác lỗ hổng đó.

Ngoài ra, rủi ro cho bạn có thể không chỉ là tiền. Có một lý do tại sao các hacker muốn buộc điện thoại của bạn tự động thực hiện cuộc gọi: phát động một cuộc tấn công DDoS. Trong khi các trang web và các dịch vụ kết nối Internet thường trở thành mục tiêu cho các cuộc tấn công DDoS, hệ thống điện thoại cũng không thể là ngoại lệ. Mới chỉ tháng trước, một hacker mới 18 tuổi ở Arizona đã bị bắt và bị buộc tội phá hoại máy tính sau khi làm ngập lụt hệ thống điện thoại khẩn cấp 911 của hệ thống tàu điện ngầm Phoenix.

Tham khảo Forbes

Tin cùng chuyên mục
Xem theo ngày

NỔI BẬT TRANG CHỦ