Công an cảnh báo 'nóng' đến tất cả người dùng điện thoại iPhone
(Thị trường tài chính) -Công an cảnh báo những lỗ hổng này nghe không quá phức tạp nhưng có mức độ nguy hiểm cao, có thể khiến mất dữ liệu cá nhân, tăng nguy cơ bị lừa đảo.
Mới đây, Công an TP. Hà Nội phát cảnh báo "nóng" về 2 lỗ hổng Zero-day nghiêm trọng trên các thiết bị Apple có thể bị khai thác khi lướt web. Theo đó, hiện nay trên các thiết bị iPhone, iPad đang chạy iOS/iPadOS chưa được cập nhật bản vá, đặc biệt trên các phiên bản iOS/iPadOS trước iOS 26.2 và IOS 18.7.3 (đối với các đời máy không hỗ trợ phiên bản iOS 26) phát hiện có 02 lỗ hổng Zero-day:
Thứ nhất, lỗ hổng CVE-2025-43529 là một lỗi bảo mật rất nghiêm trọng nằm trong WebKit - bộ phận giúp Safari và nhiều ứng dụng trên iPhone, iPad hiển thị trang web. Lỗi này có thể bị kẻ xấu lợi dụng khi người dùng mở một trang web hoặc bấm vào đường link độc hại đã được tạo sẵn để tấn công.
Nếu bị khai thác, kẻ xấu có thể thực hiện các thao tác trái phép trên thiết bị, thậm chí chạy mã độc và kiểm soát một phần hoạt động của máy mà người dùng không kịp nhận ra. Đáng nói, việc tấn công có thể xảy ra chỉ từ một hành động rất bình thường, thường xuyên như lướt web, xem tin, mở link trong tin nhắn/email, nên thường được ví như “mở link là có thể bị dính”.
Vì mức độ ảnh hưởng lớn và có nguy cơ bị khai thác trong thực tế, lỗ hổng này được xếp mức CRITICAL (cực kỳ nghiêm trọng) và có thể được dùng trong các cuộc tấn công nhắm mục tiêu vào một số cá nhân hoặc nhóm đối tượng cụ thể, gây rủi ro mất an toàn dữ liệu và thông tin trên thiết bị.
Thứ hai, lỗ hổng CVE-2025-14174 là một lỗi bảo mật nguy cơ cao nằm trong WebKit. Lỗi này có thể bị kẻ xấu lợi dụng khi người dùng truy cập một trang web hoặc mở một đường link được tạo sẵn để tấn công, khiến trình duyệt hoặc ứng dụng bị treo, bị văng ra (crash) hoặc hoạt động bất thường.
Đáng nói, có thể có những trường hợp nguy hiểm hơn như đối tượng xấu dùng lỗ hổng này như một “bước đệm” để kết hợp với các lỗi khác, từ đó tăng khả năng xâm nhập sâu hơn vào thiết bị, đánh cắp thông tin hoặc kiểm soát thiết bị ở mức cao hơn. Dù nghe giống như chỉ là lỗi “hỏng bộ nhớ" nhưng đây vẫn là lỗ hổng rất đáng lo ngại, được đánh giá mức HIGH/CRITICAL.
Công an TP. Hà Nội cảnh báo những lỗ hổng này có thể khiến người dùng bị chiếm quyền điều khiển thiết bị hoặc thực thi mã trái phép trong một số kịch bản khai thác.
Ngoài ra, các thông tin cá nhân như email công vụ, tài liệu công việc, ảnh chụp màn hình, thông tin định danh, token đăng nhập... có thể bị rò rỉ. Thậm chí, nếu thiết bị bị cài mã độc theo chuỗi tấn công, người dùng có thể bị mất an toàn tài khoản email, cổng nội bộ, ứng dụng công việc... Từ đó khiến nguy cơ lừa đảo và chiếm đoạt tài sản bị gia tăng.
Trước tình trạng này, Phòng An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao CATP. Hà Nội khuyến cáo người dùng iPhone, iPad nên:
Cập nhật iOS/iPadOS lên phiên bản mới nhất (iOS/iPadOS 26.2 hoặc iOS/iPadOS 18.7.3 (đối với các dòng điện thoại từ Iphone XS trở xuống)) ngay khi nhận được thông báo cập nhật.
Khởi động lại thiết bị sau cập nhật để bảo đảm bản vá được áp dụng đầy đủ.
Mọi người tuyệt đối không bấm vào liên kết lạ từ SMS/email/mạng xã hội, đặc biệt các link rút gọn hoặc link có nội dung bất thường.
Nếu nghi ngờ bị tấn công (máy nóng bất thường, tự mở web, xuất hiện pop-up lạ…), bạn cần ngắt mạng, báo IT/ATTT để hỗ trợ xử lý.
