Apple vừa phát hành bản iOS 26.4.2 và iOS 18.7.8, đồng thời đưa ra khuyến cáo người dùng iPhone nên cập nhật ngay lập tức do hai phiên bản này khắc phục một lỗ hổng bảo mật có thể gây rủi ro nghiêm trọng.
Apple không công bố quá nhiều chi tiết về lỗi được vá nhằm tạo điều kiện để nhiều người dùng nâng cấp trước khi tin tặc kịp khai thác. Tuy nhiên, theo trang hỗ trợ của Apple, iOS 26.4.2 và iOS 18.7.8 cùng sửa một lỗi trong Dịch vụ Thông báo, khiến các thông báo đã được đánh dấu xóa vẫn có thể bị lưu lại trên thiết bị.
Lỗ hổng này được theo dõi với mã CVE-2026-28950 và dường như được phát hành dưới dạng bản vá khẩn cấp. Nhiều nguồn tin cho rằng đây có thể là cùng lỗ hổng mà FBI từng sử dụng để trích xuất bản sao tin nhắn Signal từ iPhone của một bị cáo, do nội dung tin nhắn vẫn được lưu trong cơ sở dữ liệu thông báo đẩy. Vấn đề này lần đầu được 404 Media đưa tin.
Ảnh minh hoạ
Dù Apple chưa bình luận chi tiết về bản vá, trang Bleeping Computer nhận định mô tả của hãng về việc thông báo vẫn bị lưu trên thiết bị khá tương đồng với cơ chế lưu trữ dữ liệu được đề cập trong báo cáo nói trên.
Phía Signal cũng xác nhận iOS 26.4.2 và iOS 18.7.8 đã khắc phục sự cố này. Trên nền tảng X (trước đây là Twitter), Signal cho biết hãng hoan nghênh việc Apple nhanh chóng phát hành bản vá và thông báo bảo mật, đặc biệt sau khi xuất hiện thông tin FBI có thể truy cập nội dung thông báo tin nhắn Signal trên iPhone ngay cả khi ứng dụng đã bị xóa.
Signal nhấn mạnh người dùng iOS không cần thực hiện thêm thao tác nào ngoài việc cập nhật hệ điều hành. Sau khi cài đặt bản vá, toàn bộ các thông báo bị lưu ngoài ý muốn sẽ được xóa và các ứng dụng đã bị gỡ bỏ sẽ không tiếp tục lưu lại thông báo.
“Chúng tôi rất biết ơn Apple vì hành động nhanh chóng này, cũng như vì đã nhận thức rõ tầm quan trọng của vấn đề. Cần cả một hệ sinh thái để bảo vệ quyền riêng tư trong giao tiếp”, Signal cho biết.
Một điểm đáng chú ý khác là iOS 18.7.8 cũng được phát hành cho cả các mẫu iPhone đời mới hơn, cho thấy Apple vẫn tiếp tục duy trì iOS 18 cho những người dùng chưa muốn chuyển sang hệ điều hành mới.
Động thái này diễn ra sau khi Apple phát hành iOS 26.4 vào tháng trước, đồng thời cho phép người dùng nâng cấp lên iOS 18.7.7 ngay cả trên các thiết bị mới hơn. Nguyên nhân được cho là nhằm đối phó với DarkSword - một phần mềm gián điệp nguy hiểm từng khai thác lỗ hổng bảo mật trên iPhone để tấn công người dùng.
Giới chuyên gia nhận định Apple đang thay đổi chiến lược nhằm đảm bảo mọi người dùng đều được bảo vệ trước các rủi ro bảo mật lớn, đặc biệt khi hãng liên tục tung ra các bản cập nhật khẩn cấp như iOS 26.4.2 và iOS 18.7.8.
“Việc Apple phát hành một bản vá riêng chỉ để xử lý một vấn đề duy nhất, đồng thời tích hợp nó vào iOS 18 trong cùng đợt phát hành, cho thấy hãng coi trọng tính toàn vẹn của nền tảng đến mức nào”, ông Adam Boynton, quản lý chiến lược doanh nghiệp cấp cao tại Jamf, nhận định.
Ông cho rằng việc chuyên gia pháp y có thể tái tạo lại những thông báo mà người dùng tin rằng đã bị xóa chẳng khác nào “đọc một dòng thời gian thu gọn về cuộc sống làm việc của một người”.
“Chúng có thể bao gồm mã xác thực hai lớp, bản xem trước tin nhắn công việc, lời mời sự kiện, cảnh báo khách hàng và cả các thông báo bảo mật nội bộ”, Boynton cảnh báo.
Theo ông, vụ việc liên quan đến FBI và Signal thu hút nhiều sự chú ý, nhưng nguy cơ rò rỉ thông tin thực tế áp dụng với mọi ứng dụng hiển thị nội dung trong thông báo đẩy - điều vốn rất phổ biến ở các nền tảng cộng tác doanh nghiệp hiện nay.
Apple cho biết iOS 26.4.2 hiện khả dụng cho iPhone 11 trở lên, iPad Pro 12,9 inch thế hệ thứ 3 trở lên, iPad Pro 11 inch thế hệ đầu tiên trở lên, iPad Air thế hệ thứ 3 trở lên, iPad thế hệ thứ 8 trở lên và iPad mini thế hệ thứ 5 trở lên.
Dù bản vá trong iOS 26.4.2 và iOS 18.7.8 thoạt nhìn có vẻ không quá nghiêm trọng, nhưng việc Apple phát hành gấp cho thấy hãng đánh giá đây là một rủi ro bảo mật đáng lưu ý. Vì vậy, người dùng nên cập nhật thiết bị càng sớm càng tốt.
Ngoài bản vá bảo mật, iOS 26.4.2 còn bổ sung một số tính năng mới như mục Concerts trong Apple Music và 8 biểu tượng cảm xúc mới, mang đến thêm lý do để người dùng nâng cấp ngay.
Người dùng có thể vào Cài đặt > Cập nhật phần mềm để nâng cấp lên iOS 18.7.8 hoặc iOS 26.4.2 ngay lập tức.
