Lỗi nguy hiểm cần được cập nhật
Lỗi nằm trong cách thức mà iPhone xử lý các tin nhắn SMS được khám phá bởi hacker Charlie Miller vốn nổi tiếng với việc hack vào máy Macbook trong vài giây tại hội thảo Pwn2Own 2009 diễn ra đầu năm nay.
Theo Miller, tin tặc có thể khai thác "sự vắng mặt" của một thành phần bảo vệ trong phần mềm SMS của iPhone chuyên trách ngăn chặn chèn mã trong tin nhắn SMS tràn vào các phần khác của bộ nhớ thiết bị, giúp tin tặc có thể thực thi một chương trình tùy ý. Ngoài ra, một khi khai thác thành công lỗi, kẻ tấn công có toàn quyền sử dụng bất kỳ chức năng nào có trong chiếc smartphone của bạn bao gồm cả gọi thoại, gửi tin nhắn hay lướt web chứa mã độc hoặc đánh cắp dữ liệu có trong iphone thông qua 1 loại sâu SMS khai thác lỗi.
Miller và bạn học của mình là Collin Mulliner đã trình diễn cách thức gửi một loạt 512 tin nhắn SMS để khai thác lỗi và chỉ một trong số các tin nhắn trên thật sự xuất hiện trên điện thoại, hiển thị nội dung là một ô vuông nhỏ. Lỗi có thể bị lợi dụng để tin tặc tạo nên một mạng botnet "smartphone", sử dụng iPhone đã bị chiếm quyền điều khiển tấn công các máy khác.
Người dùng điện thoại iPhone chính hãng lẫn bẻ khóa đều bị lỗi này đe dọa. Tuy nhiên, nếu sử dụng iPhone chính hãng thì sẽ dễ tiếp cận với bản vá bảo mật khẩn cấp hơn. Do đó, khi nhận được một tin nhắn mà nội dung bên trong chỉ là một ký tự hình ô vuông nhỏ thì bạn hãy tạm thời tắt chiếc điện thoại iPhone của mình đi vì bạn đang là mục tiêu khai thác lỗi này.
Điều nguy hiểm nhất là lỗi đã được Miller công bố trong hội thảo bảo mật Black Hat USA 2009 vừa kết thúc ngày 29-7 tại Las Vegas sau khi cảnh báo đến Apple vào ngày 16-6. Người dùng hoàn toàn không có khả năng phòng vệ ngăn chặn khai thác lỗi này ngoài việc cập nhật bản vá lỗi vừa được Apple phát hành vào ngày 31-7.
|
Thông tin cập nhật iPhone 3.0.1 |
|
- Thông tin về bản vá iPhone 3.0.1 tại đây. Lỗi ảnh hưởng đến tất - Người dùng cần cập nhật iPhone 3.0.1 qua iTunes bằng cách chọn "Check for Update" ở trình đơn iTunes Help hay sử dụng chức năng cập nhật tự động. Sau đó kết nối iPhone vào một PC hay Macintosh. - Thông tin mô tả lỗi từ Charlie Miller tại hội thảo Black Hat USA 2009 (tại đây) |
Điện thoại sử dụng Windows Mobile cũng mắc lỗi
Apple không đơn độc với lỗi iPhone mà cả hệ điều hành Windows Mobile của Microsoft cũng chịu tình cảnh tương tự. Miller cho biết các thiết bị sử dụng HĐH Windows Mobile "chịu đựng" 1 lỗi cho phép tin tặc toàn quyền điều khiển từ xa thiết bị. Lỗi hiện chưa được Microsoft vá và Miller cũng chưa có kế hoạch công bố lỗi ra ngoài.
Trình diễn rootkit trên Mac OS X
Chuyên gia Dino Dai Zovi đã trình diễn loại rootkit mang tên Machiavelli trên hệ điều hành Mac OS X tại hội thảo bảo mật Black Hat USA 2009. Mặc dù người dùng hệ điều hành Mac OS X được xem là tương đối an toàn trước các loại virus nhưng Dino Dai Zovi đã chứng minh Mac cũng là nền tảng mà mã độc có thể "sinh sống" tốt.
Rootkit Machiavelli lén lút ẩn vào lõi (kernel) HĐH Mac OS X và chịu sự điều khiển từ xa bởi hacker.
Tuy nhiên, để Machiavelli thâm nhập vào máy thì cần phải có quyền hạn quản trị nhưng cũng có thể khai thác một lỗi trong HĐH Mac OS X chưa kịp vá để chiếm quyền điều khiển.
THANH TRỰC tổng hợp