Thứ năm, 20/04/2023, 15:42 (GMT + 7)

Cảnh báo lỗ hổng trên điện thoại thông minh và máy tính của Apple có thể gây hại cho người nắm giữ tiền điện tử

Kaspersky, nhà cung cấp dịch vụ chống vi-rút và an ninh mạng, đã xác định các lỗ hổng trong hệ điều hành của Apple mà họ mô tả là “rất nghiêm trọng”. Họ hiện đang tư vấn cho chủ sở hữu tiện ích, bao gồm cả chủ sở hữu tiền điện tử, cập nhật thiết bị của họ và giữ an toàn trước các vụ hack khai thác lỗ hổng trong các hệ thống và mạng lỗi thời.

Mục lục bài viết

Lỗ hổng trên điện thoại thông minh và máy tính của Apple
Tấn công lừa đảo tiền điện tử

Lỗ hổng trên điện thoại thông minh và máy tính của Apple

Công ty an ninh mạng khuyến nghị người dùng cập nhật hệ điều hành điện thoại của họ lên iOS 16.4.1. Trong khi đó, người dùng máy tính nên nâng cấp hệ điều hành lên macOS 13.3.1. Xem xét mức độ nghiêm trọng của lỗ hổng bảo mật, Apple cũng đã phát hành các bản cập nhật cho các hệ điều hành cũ hơn.

Kaspersky lưu ý rằng hai lỗ hổng đã được chọn ra. Cái đầu tiên, được đặt tên là CVE-2023-28205, ảnh hưởng đến công cụ WebKit, cung cấp năng lượng cho trình duyệt Safari; giao diện lướt web mặc định trong các thiết bị của Apple.

Thông qua lỗ hổng này, tin tặc hoặc tác nhân độc hại có thể thực thi mã tùy ý trên thiết bị bất cứ khi nào người dùng duyệt một trang bị nhiễm. Lỗ hổng thứ hai ảnh hưởng đến đối tượng IOSurfaceAccelerator. Kẻ tấn công có thể thực thi mã bằng cách sử dụng các quyền cốt lõi của hệ điều hành thông qua lỗ hổng này.

Cần lưu ý rằng cả hai cũng có thể kích hoạt cái kia. Chẳng hạn, trước tiên kẻ tấn công có thể lây nhiễm thiết bị thông qua lỗ hổng WebKit Engine trước khi thực thi mã thông qua các quyền lõi phần mềm của thiết bị. Vì kẻ tấn công có các quyền cốt lõi nên hầu như chúng có thể làm bất cứ điều gì trên thiết bị bị nhiễm.

Nó trở nên tồi tệ hơn bởi vì, khi xem xét hệ thống của Apple, WebKit Engine là công cụ trình duyệt được phép duy nhất trong điện thoại thông minh của Apple. Như vậy, bất kể người dùng có thể chọn bất kỳ trình duyệt nào khác, như Chrome hoặc Firefox, Công cụ WebKit được sử dụng để hiển thị các trang. Điều này có nghĩa là ngay cả một trang được mở trực tiếp từ một ứng dụng trong điện thoại vẫn có thể bị ảnh hưởng do công cụ trình duyệt vẫn sẽ được yêu cầu.

Tấn công lừa đảo tiền điện tử

Mức độ nghiêm trọng của lỗ hổng này đặc biệt là mối quan tâm đối với người dùng tiền điện tử. Bản chất kỹ thuật số của tài sản tiền điện tử và sự ra đời chung của công nghệ chuỗi khối cơ bản có nghĩa là người dùng phải thận trọng để bảo vệ tài sản của họ.

Một báo cáo gần đây của Kaspersky tiết lộ rằng các cuộc tấn công lừa đảo bằng tiền điện tử đã tăng 40% vào năm 2022. Bằng cách khai thác các lỗi chưa được vá, một tác nhân bất chính có thể thực hiện thành công các cuộc tấn công lừa đảo bằng cách tạo ví và trang web giả có thể lừa người dùng gửi khóa cá nhân và thông tin quan trọng khác của họ.

Trong tháng này, một người nắm giữ tiền điện tử đã mất số tiền điện tử trị giá 50.000 USD sau khi một hacker khai thác lỗ hổng trên điện thoại thông minh Samsung Galaxy của anh ta và truy cập LastPass, một công cụ quản lý mật khẩu. Hai trong số các ví của anh ấy đã bị xâm phạm và mã thông báo của anh ấy đã được chuyển đổi thành Bitcoin trước khi được chuyển.

Tổng vốn hóa thị trường giảm xuống dưới 1,2 nghìn tỷ USD. Nguồn: TradingView.com