Cảnh báo khẩn cấp vừa được Công an TP Hà Nội phát đi tới cộng đồng người dùng iPhone và iPad. Hai lỗ hổng ‘Zero-day’ cực kỳ nguy hiểm đã được phát hiện trên các thiết bị chạy iOS/iPadOS chưa cập nhật bản vá, đặc biệt là các phiên bản cũ hơn iOS 26.2 và iOS 18.7.3.
Đây là những nguy cơ tiềm ẩn có thể gây ra hậu quả nghiêm trọng cho người dùng.
1. Lỗ hổng CVE-2025-43529: Được đánh giá ở mức ĐẶC BIỆT NGHIÊM TRỌNG (CRITICAL). Đây là một điểm yếu trong WebKit – ‘bộ não’ giúp Safari và các ứng dụng khác hiển thị nội dung web trên thiết bị của bạn. Kẻ xấu có thể dễ dàng lợi dụng lỗ hổng này khi người dùng truy cập một trang web hoặc nhấp vào một đường link ‘độc’ đã được chuẩn bị sẵn. Điều đáng sợ là chỉ cần một thao tác tưởng chừng vô hại như lướt web, đọc tin tức hay mở link từ tin nhắn/email, thiết bị của bạn có thể bị tấn công. Nếu bị khai thác, kẻ tấn công có thể thực hiện các hành vi trái phép, chạy mã độc và thậm chí kiểm soát một phần thiết bị mà bạn không hề hay biết, dẫn đến nguy cơ mất an toàn dữ liệu và thông tin cá nhân.
2. Lỗ hổng CVE-2025-14174: Cũng là một nguy cơ cao, tiềm ẩn trong cùng WebKit. Khi bị lợi dụng, lỗ hổng này có thể làm treo trình duyệt, văng ứng dụng hoặc gây ra các hoạt động bất thường trên thiết bị của bạn khi bạn truy cập các trang web hoặc liên kết độc hại. Hơn thế nữa, nó có thể trở thành ‘bàn đạp’ để kẻ tấn công kết hợp với các lỗ hổng khác, từ đó xâm nhập sâu hơn, đánh cắp thông tin hoặc kiểm soát hoàn toàn thiết bị. Dù có vẻ chỉ là lỗi ‘hỏng bộ nhớ’, nhưng mức độ nguy hiểm của nó được xếp hạng CAO/NGHIÊM TRỌNG (HIGH/CRITICAL) không thể xem nhẹ.
Nguy cơ có thể xảy ra:
– Chiếm quyền điều khiển thiết bị hoặc thực thi mã trái phép trong một số kịch bản khai thác.
– Rò rỉ dữ liệu nhạy cảm: email công vụ, tài liệu công việc, ảnh chụp màn hình, thông tin định danh, token đăng nhập.
– Mất an toàn tài khoản (email/cổng nội bộ/ứng dụng công việc) nếu thiết bị bị cài mã độc theo chuỗi tấn công.
– Gia tăng nguy cơ lừa đảo và chiếm đoạt tài sản khi kẻ tấn công lợi dụng thiết bị để đánh cắp thông tin.
Phòng An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao CATP Hà Nội khẩn thiết khuyến cáo tất cả người dùng iPhone, iPad cần thực hiện ngay các biện pháp sau:
1. Cập nhật hệ điều hành ngay lập tức: Nâng cấp iOS/iPadOS lên phiên bản mới nhất (iOS/iPadOS 26.2 hoặc iOS/iPadOS 18.7.3 cho các dòng máy từ iPhone XS trở xuống) ngay khi có thông báo cập nhật. Đây là cách hiệu quả nhất để vá các lỗ hổng này.
2. Khởi động lại thiết bị: Sau khi cập nhật, hãy khởi động lại máy để đảm bảo bản vá được áp dụng hoàn chỉnh.
3. Cẩn trọng với các liên kết lạ: Tuyệt đối không nhấp vào bất kỳ liên kết đáng ngờ nào từ tin nhắn SMS, email, hoặc mạng xã hội, đặc biệt là các link rút gọn hoặc có nội dung bất thường.
4. Hành động khi nghi ngờ: Nếu thiết bị có dấu hiệu bị tấn công (như máy nóng bất thường, tự động mở trình duyệt, xuất hiện pop-up lạ…), hãy ngắt kết nối mạng ngay lập tức và liên hệ bộ phận IT/An toàn thông tin để được hỗ trợ xử lý kịp thời.
