Các nhà nghiên cứu của Google đã tìm thấy một số trang web bị tấn công đang âm thầm sử dụng để xâm nhập vào iPhone trong ít nhất hai năm qua.
Các nhà phân tích tại bộ phận an ninh mạng của Google, Project Zero đã xuất bản một bài đăng trên blog kỹ thuật chuyên sâu vào tối thứ Năm vừa qua chi tiết về những phát hiện của họ.
"Không có sự phân biệt đối xử mục tiêu; chỉ cần truy cập trang web bị tấn công là đủ để máy chủ khai thác tấn công thiết bị của bạn và nếu nó thành công, hãy cài đặt một bộ cấy theo dõi", nhà nghiên cứu bảo mật Ian Bia viết trên blog. Khi đã ở trong iPhone, bộ cấy này có thể đánh cắp tin nhắn, ảnh và dữ liệu vị trí GPS trong thời gian thực.
Mặc dù bài đăng trên blog không cho biết chính xác có bao nhiêu trang web này, nhưng các nhà nghiên cứu ước tính mỗi trang đã nhận được hàng nghìn lượt truy cập mỗi tuần. Các vụ hack kéo dài iOS 10 đến 12, mà Bia cho biết "nỗ lực bền vững" để hack iPhone trong khoảng thời gian hai năm.
Các trang web đã đạt được quyền truy cập vào iPhone thông qua năm phương pháp hoặc "chuỗi khai thác". Các nhà nghiên cứu đã tìm thấy 14 lỗ hổng riêng biệt khiến các chuỗi khai thác này có thể xảy ra. Bảy trong số các lỗ hổng này đã được tìm thấy trong Safari, trình duyệt web mặc định của iPhone.
Các nhà nghiên cứu đã nói với Apple về những phát hiện của họ vào tháng 2 và đưa ra cho công ty thời hạn bảy ngày để khắc phục các lỗ hổng. Sáu ngày sau, Apple cập nhật bảo mật trên iOS 12. Google đưa ra cho Apple thời hạn chặt chẽ hơn nhiều so với thông thường trong công bố bảo mật, định mức là 90 ngày để khắc phục các sự cố.
Apple nói chung có uy tín lớn về bảo mật và đầu tháng này, công ty đã tăng số tiền mà họ sẵn sàng bỏ ra để nhận tiền thưởng lỗi - lỗ hổng được tìm thấy bởi các nhà nghiên cứu bảo mật - lên tới 1 triệu đô la.