Apple vừa phát đi cảnh báo về hai lỗ hổng bảo mật trên iPhone, cho biết chúng “có thể đã bị khai thác trong một cuộc tấn công cực kỳ tinh vi nhằm vào các cá nhân cụ thể”. Động thái này được đưa ra trong bối cảnh người dùng iPhone trên toàn cầu liên tiếp nhận được cảnh báo liên quan đến phần mềm gián điệp trong thời gian gần đây.
Theo Apple, cả hai lỗ hổng đã được khắc phục trong bản cập nhật iOS 26.2 vừa phát hành hôm nay. Tuy nhiên, bên cạnh khuyến nghị cập nhật ngay đối với người dùng iOS 26, Apple đặc biệt cảnh báo những ai vẫn đang sử dụng các phiên bản iOS cũ. Các cuộc tấn công được xác định là nhắm tới người dùng “trên các phiên bản iOS trước iOS 26”. Dù iOS 18 vẫn tiếp tục được vá lỗi, Apple nhấn mạnh việc trì hoãn nâng cấp tiềm ẩn nhiều rủi ro và khuyến cáo người dùng nên cập nhật ngay lập tức.
Ảnh minh họa
Apple cho biết hai lỗ hổng này có liên quan chặt chẽ với nhau, mang mã CVE-2025-14174 và CVE-2025-43529, đều được phát hành để phản hồi các báo cáo bảo mật. Một lỗ hổng do Nhóm Phân tích Mối đe dọa của Google phát hiện, lỗ hổng còn lại do nhóm săn lùng mối đe dọa của Google phối hợp cùng Apple phát hiện.
Cả hai đều ảnh hưởng đến WebKit – công cụ trình duyệt cốt lõi của Apple. Theo hãng, một lỗ hổng có thể khiến trình duyệt xử lý nội dung web độc hại, dẫn đến nguy cơ thực thi mã tùy ý, trong khi lỗ hổng còn lại có thể gây lỗi hỏng bộ nhớ. Đây là những đặc điểm điển hình của một chuỗi tấn công bằng phần mềm gián điệp.
“Rất có thể các lỗ hổng này đã được kết hợp để khai thác”, ông Mayuresh Dani, chuyên gia của Qualys, nhận định. “WebKit từ lâu đã được xem là điểm xâm nhập chính trong các chiến dịch phần mềm gián điệp và giám sát tinh vi”. Ông dẫn ví dụ các công cụ giám sát khét tiếng như Pegasus, vốn thường xuyên dựa vào các lỗ hổng WebKit để tấn công mục tiêu.
Hai lỗ hổng bị khai thác nằm trong số tám mối đe dọa WebKit đã được vá trong bản cập nhật lần này. Các lỗ hổng còn lại chủ yếu liên quan đến việc xử lý bộ nhớ không đúng cách, có thể làm mất ổn định ứng dụng hoặc hệ điều hành và tạo điều kiện cho những hình thức khai thác khác. Điều này, theo các chuyên gia, càng cho thấy sự cần thiết phải cài đặt bản cập nhật ngay khi có thể.
Trước đây, WebKit từng nhiều lần trở thành mục tiêu của các cuộc tấn công zero-day. Đây là “mảnh đất màu mỡ” cho các nhà phát triển phần mềm gián điệp xây dựng và rao bán các công cụ khai thác. Những lỗ hổng mới nhất có thể được bổ sung vào danh sách “17 lỗi zero-day của WebKit đã bị khai thác trên thực tế” kể từ năm 2023. Dù các cuộc tấn công thường nhắm vào số ít cá nhân cụ thể, các lỗ hổng lại có xu hướng lan rộng và ảnh hưởng tới nhiều người dùng khác.
“Người dùng cần khẩn trương cập nhật tất cả các thiết bị Apple bị ảnh hưởng” ông James Maude từ BeyondTrust cảnh báo. “Dù hiện tại các cuộc tấn công có vẻ mang tính chọn lọc, nhưng chúng rất nhanh sẽ trở thành công cụ khai thác phổ biến trong tay nhiều nhóm tội phạm mạng.”
Bên cạnh hai lỗ hổng đã bị khai thác, việc phát hành rộng rãi các bản vá iOS 26 cũng đồng nghĩa với việc phơi bày thêm những rủi ro khác. Chẳng hạn, một ứng dụng có thể truy cập dữ liệu nhạy cảm của người dùng trong ứng dụng Tin nhắn, hoặc các trường mật khẩu có thể vô tình bị lộ khi điều khiển thiết bị từ xa qua FaceTime.
Người dùng cần khẩn trương cập nhật tất cả các thiết bị Apple bị ảnh hưởng
Đầu tháng 12, Google cũng đưa ra cảnh báo tương tự khi xác nhận hệ điều hành Android đang bị tấn công thông qua hai lỗ hổng bảo mật bị khai thác trên diện rộng. Google đã nhanh chóng phát hành bản cập nhật khẩn cấp, trong đó các thiết bị Pixel được vá lỗi chỉ sau vài ngày.
Apple và Google được đánh giá cao nhờ phản ứng nhanh trong việc tung ra các bản vá. Tuy nhiên, cần lưu ý rằng với Android, bản vá tức thời hiện chỉ áp dụng cho dòng Pixel, trong khi các nhà sản xuất khác như Samsung khó có thể triển khai nhanh tương tự.
Sau khi Android phát hành bản cập nhật, cơ quan phòng thủ mạng của Mỹ cũng đã đưa ra cảnh báo riêng. Giới chuyên gia cho rằng nhiều khả năng một cảnh báo tương tự dành cho người dùng Apple sẽ sớm được ban hành trong thời gian tới.
“Không có giải pháp thay thế hay hành vi sử dụng nào có thể giảm thiểu đáng kể rủi ro này” ông Darren Guccione, Giám đốc điều hành Keeper Security, nhấn mạnh. “Cài đặt bản cập nhật là biện pháp phòng vệ hiệu quả duy nhất. Khi các bản vá đã được phát hành rộng rãi, bất kỳ sự chậm trễ nào trong việc cập nhật đều làm gia tăng nguy cơ bị tấn công".
