Lỗ hổng Zero-Click trên iPhone khiến các khoản nắm giữ tiền điện tử dễ bị tấn công nâng cao – Dưới đây là những gì bạn cần biết

Vào giữa tháng 8 năm 2025, Apple đã phát hành các bản vá bảo mật khẩn cấp nhằm khắc phục một lỗ hổng nghiêm trọng mà các tác nhân đe dọa tinh vi đang khai thác tích cực nhằm vào các cá nhân mục tiêu. Lỗ hổng này, được đặt tên CVE-2025-43300, ảnh hưởng đến các thiết bị iPhone, iPad và Mac trên toàn cầu, đặc biệt đối với người dùng tiền điện tử lưu trữ tài sản kỹ thuật số trên thiết bị của họ. Đây là lỗ hổng thứ bảy dạng zero-day bị Apple vá kể từ đầu năm 2025, báo hiệu một bối cảnh đe dọa ngày càng gia tăng đối với an ninh thiết bị di động.

Cơ chế của cuộc tấn công: Khai thác không cần nhấp chuột

Lỗ hổng tồn tại trong hệ thống xử lý Image I/O của Apple — khung framework chịu trách nhiệm hiển thị hình ảnh trên tất cả các thiết bị của Apple. Các kẻ tấn công khai thác điều kiện ghi vượt giới hạn trong framework này, cho phép thao tác bộ nhớ trái phép. Cuộc tấn công không yêu cầu bất kỳ hành động nào từ phía người dùng: chỉ cần một hình ảnh độc hại gửi qua iMessage hoặc email là quá trình xử lý tự động được kích hoạt, ngay lập tức làm hỏng thiết bị.

Theo các chuyên gia an ninh mạng, cơ chế phân phối liền mạch này khiến cuộc tấn công trở nên đặc biệt nguy hiểm. “Người nhận hoàn toàn không nhận thức được rằng họ đã bị nhắm mục tiêu,” giải thích các nhà nghiên cứu an ninh phân tích vụ việc. Khi thiết bị bị xâm phạm, kẻ tấn công có thể truy cập đầy đủ các thông tin xác thực đã lưu trữ, khóa riêng, và các token xác thực giao dịch. Đối với người dùng tiền điện tử, điều này có thể dẫn đến việc lộ cấu hình ví đa chữ ký, các cụm từ khôi phục chụp màn hình, và theo dõi hoạt động giao dịch theo thời gian thực.

Tại sao các khoản nắm giữ tiền điện tử đối mặt với rủi ro lớn hơn

Ngành công nghiệp crypto đã trải qua một cuộc khủng hoảng an ninh đáng kể trong nửa đầu năm 2025, với các tác nhân đe dọa và các nhà thao túng gian lận rút hơn 2,2 tỷ USD từ các tài khoản người dùng — một lời nhắc nhở đen tối rằng việc trộm cắp tài sản kỹ thuật số mang lại hậu quả không thể đảo ngược. Khác với các tổ chức tài chính truyền thống, nơi các giao dịch gian lận có thể được hoàn lại và quỹ được khôi phục, các giao dịch blockchain là vĩnh viễn và không thể lấy lại sau khi xác nhận trên chuỗi.

Các khoản nắm giữ tiền điện tử đặc biệt hấp dẫn đối với các tác nhân đe dọa tinh vi: người dùng thường duy trì số dư lớn trong ví di động và ứng dụng trao đổi, lợi ích kinh tế đủ để biện pháp khai thác tinh vi được sử dụng, và các tài sản phi tập trung thiếu các cơ chế khôi phục tài khoản như trong hệ thống ngân hàng truyền thống.

Các thiết bị bị ảnh hưởng và lộ trình vá lỗi

Lỗ hổng ảnh hưởng đến một số lượng lớn thiết bị đã cài đặt:

• Các thiết bị iPhone từ XS trở đi (2018 ra mắt và các mẫu mới hơn)
• iPad Pro, iPad Air, và các mẫu iPad tiêu chuẩn từ các thế hệ gần đây
• Máy Mac chạy macOS Sequoia, Sonoma hoặc Ventura

Apple đã phân phối các bản vá thông qua iOS 18.6.2, iPadOS 18.6.2, và các phiên bản macOS tương ứng. Cơ quan An ninh Mạng và Cơ sở hạ tầng của Mỹ (CISA) đã yêu cầu triển khai vá lỗi trên tất cả các cơ quan liên bang trước ngày 11 tháng 9 năm 2025, nhấn mạnh mức độ nghiêm trọng của mối đe dọa theo các đánh giá an ninh của chính phủ.

Các hành động bảo mật ngay lập tức cho người dùng tiền điện tử

Các chuyên gia an ninh đề xuất một khung phản ứng ưu tiên:

Ưu tiên khẩn cấp: Áp dụng các bản vá ngay lập tức thay vì chờ đợi cài đặt tự động. Truy cập vào Cài đặt > Tổng quát > Cập nhật phần mềm trên iOS, hoặc Cài đặt Hệ thống trên macOS, và thủ công kích hoạt cài đặt.

Xác minh và đánh giá: Theo dõi hành vi thiết bị để phát hiện các dấu hiệu xâm phạm như giảm hiệu suất, kết nối mạng bất thường, hoặc chênh lệch số dư ví so với hồ sơ giao dịch cục bộ. Việc đánh giá toàn diện có thể khó khăn đối với người dùng không kỹ thuật; các bất thường về hành vi cần được điều tra thêm.

Di chuyển tài sản: Người dùng nghi ngờ thiết bị bị xâm phạm nên chuyển tiền điện tử sang các ví mới được tạo ra trên phần cứng riêng biệt, không bị xâm phạm. Điều này đòi hỏi tạo khóa mới trên một thiết bị cách ly, không kết nối với các hệ thống có thể bị xâm phạm.

Củng cố tài khoản: Đặt lại mật khẩu cho các tài khoản email và lưu trữ đám mây, vốn là các vector phục hồi cho việc đặt lại mật khẩu trao đổi và các nỗ lực chiếm đoạt tài khoản. Kích hoạt các khóa bảo mật phần cứng nếu nhà cung cấp dịch vụ hỗ trợ.

Các thiết bị không thể hỗ trợ các phiên bản OS hiện tại vẫn còn dễ bị tổn thương và nên ngừng sử dụng để lưu trữ tiền điện tử.

Bối cảnh lịch sử: Các lỗ hổng ImageIO lặp đi lặp lại

Sự cố này gợi nhớ một mô hình khai thác trong năm 2023. Nhóm NSO đã khai thác lỗ hổng trong framework ImageIO trong chiến dịch mang tên BLASTPASS, phát tán phần mềm giám sát Pegasus qua hình ảnh độc hại dựa trên iMessage. Cuộc tấn công này cũng không yêu cầu tương tác của người dùng, nhắm vào các cá nhân có giá trị cao với nguồn lực của các quốc gia. Việc khai thác lặp lại cùng một thành phần hệ thống cho thấy còn tồn tại các điểm yếu kiến trúc trong mô hình bảo mật xử lý hình ảnh của Apple.

Thực trạng đe dọa ngày càng phát triển

CVE-2025-43300 cho thấy rằng ngay cả những người dùng cẩn trọng, vận hành tối ưu, cũng có thể bị tổn thương bởi các khai thác zero-click không cần xã hội hóa hoặc lỗi người dùng. Sự kiện này nhấn mạnh tầm quan trọng của chiến lược bảo vệ đa lớp: cập nhật thiết bị định kỳ, sử dụng ví phần cứng cho các khoản nắm giữ lớn, phân bổ quỹ qua nhiều phương thức quản lý, và nhận thức rằng không có thiết bị hoặc nền tảng nào hoàn toàn đảm bảo an toàn.

Trong tương lai, người dùng tiền điện tử nên chuẩn bị cho việc phát hiện và khai thác liên tục các lỗ hổng zero-day tương tự, đồng thời duy trì cảnh giác cao đối với chu kỳ cập nhật thiết bị và kiến trúc lưu trữ đa dạng.