Apple vừa tung bản cập nhật iOS 16.6.1 để vá lỗ hổng bảo mật nghiêm trọng liên quan phần mềm gián điệp Pegasus.
Nếu thường xuyên theo dõi các thông tin về bảo mật thì phần mềm gián điệp Pegasus chắc chắn là cái tên được nhắc đến nhiều trong thời gian gần đây. Công ty an ninh mạng NSO Group có trụ sở tại Israel phát triển phần mềm này và nó có khả năng đọc tin nhắn văn bản của mục tiêu, nghe cuộc gọi, theo dõi vị trí của người dùng và nhiều thứ khác.
Phần mềm này đã gây chú ý sau khi người ta phát hiện ra rằng nhiều quốc gia đã sử dụng nó để theo dõi các nhà báo, nhà hoạt động và những người được quan tâm khác.
Rõ ràng, hệ điều hành di động iOS 16.6 gần đây của Apple có tính năng zero-day và zero-click, nghĩa là không cần tương tác của người dùng để sử dụng nó. Pegasus đã lợi dụng tính năng này để khai thác các thông tin. Người phát hiện ra điều này là Citizen Lab đã đặt tên cho hành động này là “Blastpass”. Việc khai thác dường như liên quan đến PassKit – cùng Apple SDK, cho phép các nhà phát triển tích hợp Apple Pay vào ứng dụng của họ và một số hình ảnh độc hại được gửi qua iMessage để kích hoạt việc khai thác. Citizen Lab đã cài đặt thành công Pegasus trên thiết bị mục tiêu bằng cách sử dụng cách khai thác nói trên và ngay lập tức báo cáo cho Apple.
Bản sửa lỗi hiện đã được triển khai trong iOS 16.6.1 và tất cả người dùng nên tải bản cập nhật càng sớm càng tốt. Rõ ràng, việc khai thác khá nghiêm trọng và có phạm vi rộng vì Citizen Lab thậm chí còn khuyên người dùng lo ngại về quyền riêng tư của họ nên kích hoạt chế độ iOS Lockdown – một tính năng được tích hợp cho iOS gần đây. Nó cho phép người dùng hạn chế các tính năng trên iPhone.
Anh em quan tâm có thể tải về bản cập nhật iOS 16.6.1 tại đây.
