Apple đã phát hành bản cập nhật bảo mật khẩn cấp cho iOS 15.8.5, nhắm đến các thiết bị cũ như iPhone 6s từ năm 2015. Bản vá này giải quyết lỗ hổng nghiêm trọng cho phép kẻ tấn công xâm nhập thiết bị chỉ bằng cách gửi một tệp hình ảnh độc hại, hoàn toàn không cần sự tương tác của người dùng.
Chi tiết lỗ hổng bảo mật: CVE-2025-43300 - Vấn đề ghi vượt quá giới hạn trong framework ImageIO cho phép tham nhũng bộ nhớ thông qua xử lý hình ảnh độc hại
Tiết Lộ Các Cuộc Tấn Công Của Quốc Gia
Bản thông báo bảo mật tiết lộ rằng Apple biết lỗ hổng này đã được khai thác trong các cuộc tấn công cực kỳ tinh vi nhắm vào những cá nhân mục tiêu cụ thể. Ngôn ngữ này thường chỉ ra các tác nhân quốc gia sử dụng các lỗ hổng zero-day đắt tiền, có thể là một phần của các chiến dịch phần mềm gián điệp như Pegasus. Lỗ hổng ảnh hưởng đến framework ImageIO của Apple, xử lý các tệp hình ảnh trên toàn hệ điều hành.
Điều đặc biệt đáng quan ngại là bản chất zero-click của cuộc tấn công. Người dùng có thể bị xâm nhập chỉ bằng cách nhận một hình ảnh qua các ứng dụng nhắn tin như WhatsApp, mà không cần mở hoặc tương tác với tệp. Các nhà nghiên cứu bảo mật đã liên kết lỗ hổng này với một chuỗi tấn công phối hợp cũng liên quan đến các lỗ hổng trong chính WhatsApp, khiến nó đặc biệt nguy hiểm đối với các mục tiêu cấp cao dựa vào tin nhắn được mã hóa.
Zero-click exploit: Một loại tấn công mạng không cần sự tương tác của người dùng để xâm nhập thiết bị
Lợi Thế Hỗ Trợ Dài Hạn Của Apple Được Làm Nổi Bật
Phản ứng của cộng đồng chủ yếu tập trung vào việc khen ngợi cam kết của Apple trong việc hỗ trợ các thiết bị cũ một thập kỷ. iPhone 6s, ban đầu được phát hành vào năm 2015, vẫn nhận được các bản vá bảo mật quan trọng vào năm 2025 - một khung thời gian hỗ trợ 10 năm đáng chú ý vượt xa hầu hết các nhà sản xuất Android.
Sự hỗ trợ mở rộng này đã khơi lại các cuộc thảo luận về mô hình cập nhật phân mảnh của hệ sinh thái Android. Trong khi Google gần đây đã hứa hỗ trợ 7 năm cho các thiết bị Pixel 8 và Samsung hiện cung cấp cam kết tương tự cho các điện thoại flagship, những cải tiến này chỉ bắt đầu trong những năm gần đây. Nhiều người dùng Android đã trải qua sự thất vọng khi thiết bị trở nên lỗi thời chỉ sau 2-3 năm cập nhật.
Thật vô lý khi Google ngừng hỗ trợ mẫu này quá nhanh, và tôi thực sự không còn tin tưởng họ nữa. 7 năm là những gì lẽ ra phải có từ đầu.
Sự tương phản trở nên rõ rệt hơn khi xem xét các quyết định mua sắm của doanh nghiệp. Các công ty đánh giá hàng trăm thiết bị thấy rằng iPhone mang lại lợi tức đầu tư tốt hơn do tuổi thọ sử dụng lâu hơn, bất chấp chi phí ban đầu cao hơn.
So sánh Hỗ trợ:
- Apple iPhone 6s: 10 năm (2015-2025)
- Google Pixel 8+: 7 năm (cam kết)
- Google Pixel 6-7: 5 năm
- Samsung flagship: 7 năm (chính sách hiện tại)
- Samsung tầm trung: 6 năm (chính sách hiện tại)
Thách Thức Kỹ Thuật Đằng Sau Vấn Đề Cập Nhật Của Android
Cuộc thảo luận cũng đã làm sáng tỏ lý do tại sao Android gặp khó khăn với hỗ trợ dài hạn. Bản chất phân mảnh của hệ sinh thái Android tạo ra những rào cản kỹ thuật đáng kể. Các nhà sản xuất điện thoại phụ thuộc vào các nhà cung cấp chip như Qualcomm cho các bản cập nhật driver và firmware modem, nhưng những công ty này thường chỉ duy trì hỗ trợ trong 3-4 năm.
Điều này tạo ra hiệu ứng dây chuyền khi ngay cả các nhà sản xuất có động lực cũng đối mặt với rào cản kỹ thuật để cung cấp hỗ trợ lâu hơn. Google có thể giải quyết điều này thông qua các hợp đồng tốt hơn và ưu đãi tài chính với các đối tác phần cứng, nhưng mô hình hiện tại để lại người tiêu dùng dễ bị tổn thương khi hỗ trợ của nhà cung cấp kết thúc.
Sự tích hợp theo chiều dọc của Apple mang lại cho họ lợi thế đáng kể ở đây. Bằng cách kiểm soát cả phát triển phần cứng và phần mềm, họ có thể tiếp tục hỗ trợ các thiết bị lâu sau khi các nhà cung cấp linh kiện bên thứ ba thường kết thúc hỗ trợ.
Các thiết bị bị ảnh hưởng: iPhone 6s (tất cả các phiên bản), iPhone 7 (tất cả các phiên bản), iPhone SE (thế hệ thứ 1), iPad Air 2, iPad mini (thế hệ thứ 4), iPod touch (thế hệ thứ 7)
Tác Động Rộng Hơn Đối Với Bảo Mật Thiết Bị
Sự cố này làm nổi bật các rủi ro bảo mật đang diễn ra mà người dùng các thiết bị cũ trên tất cả các nền tảng phải đối mặt. Trong khi sự hỗ trợ mở rộng của Apple đáng khen ngợi, nó cũng đặt ra câu hỏi về hàng triệu thiết bị Android không nhận được cập nhật bảo mật sau khi kết thúc khung thời gian hỗ trợ ngắn ngủi.
Lỗ hổng được vá ở đây chứng minh rằng các kẻ tấn công tinh vi đặc biệt nhắm mục tiêu vào các thiết bị cũ, biết rằng nhiều người dùng cho rằng điện thoại của họ an toàn miễn là chúng hoạt động bình thường. Thực tế là các thiết bị không được vá ngày càng dễ bị khai thác theo thời gian, khiến hỗ trợ bảo mật dài hạn không chỉ là sự tiện lợi mà là điều cần thiết cho sự an toàn của người dùng.
Tham khảo: About the security content of iOS 15.8.5 and iPadOS 15.8.5