Phát hiện lỗ hổng iOS 12 cho phép xem ảnh đã xóa trên iPhone

Theo tạp chí Forbes, trong cuộc thi Mobile Pwn20wn tổ chức tại Tokyo (Nhật Bản), hai hacker Richard Yu và Amat Cama đã lập đội Fluoroacetate và tìm ra lỗ hổng cho phép họ xem các file đã xóa trên thiết bị chạy iOS 12. Lỗi là do điểm yếu trong trình duyệt Safari phiên bản mới nhất. Lỗi đã được thông báo cho Apple và hacker được thưởng 50.000 USD. Apple đang tìm cách khắc phục.

Lỗ hổng có thể bị khai thác để lấy được nhiều nội dung hơn, không dừng lại ở ảnh bị xóa. Nó được phát hiện trong trình biên dịch Javascript JIT (just-in-time compiler). Đây không phải chuyện hiếm gặp vì bản thân nó rất phức tạp. Dù lập trình viên liên tục vá lỗi, không có gì bảo đảm lỗ hổng mới không xuất hiện.

Hacker có thể khai thác JIT compiler bằng điểm truy cập Wi-Fi độc hại. Tuy nhiên, Apple không phải công ty duy nhất có lỗi. Bộ đôi hacker đã khai thác lỗ hổng tương tự trên thiết bị Android, bao gồm Samsung Galaxy S9 và Xiaomi Mi 6. Hai hacker này giành giải Master of Pwn nhờ khám phá lỗ hổng iPhone cùng một số lỗ hổng khác.

Pwn2Own là cuộc thi tấn công máy tính thường niên được tổ chức bên lề hội thảo bảo mật CanSecWest từ năm 2007. Thí sinh được yêu cầu khai thác các phần mềm, thiết bị di động phổ biến bằng các lỗ hổng chưa được biết đến. Người chiến thắng dược nhận thiết bị mà họ tấn công thành công, giải thưởng bằng tiền mặt và chiếc áo khoác “Master”. Cái tên “Pwn2Own” xuất phát từ thực tế thí sinh phải “pwn” (hack hay tấn công) để “own” (sở hữu hay chiến thắng).