top of page

Khẩn cấp: Lỗ hổng WebKit bị nhóm D-Shortiez khai thác trên iOS - Người dùng Safari cần cập nhật ngay!

  • 4 thg 3
  • 4 phút đọc

Một chiến dịch tấn công mạng mới vừa được phát hiện đang lợi dụng lỗ hổng WebKit - trình duyệt web engine cốt lõi của Safari và các trình duyệt iOS khác - nhằm giữ người dùng mắc kẹt trên các trang lừa đảo độc hại mà không thể thoát bằng nút Back (Quay lại). Đây là một hình thức malvertising (quảng cáo độc hại) được thực thi bởi tác nhân đe dọa mang tên D-Shortiez.


Cảnh báo lỗ hổng WebKit khiến người dùng Safari bị mắc kẹt trên trang lừa đảo
Cảnh báo lỗ hổng WebKit khiến người dùng Safari bị mắc kẹt trên trang lừa đảo - Nguồn: AI

Mấu chốt lỗ hổng: chiếm quyền điều khiển nút “Back”


Mấu chốt của lỗ hổng nằm ở việc chiếm quyền điều khiển nút “Back” trên trình duyệt, khi kẻ tấn công sử dụng JavaScript để chèn một mục giả vào lịch sử duyệt web và gắn trình xử lý sự kiện onpopstate nhằm can thiệp vào mọi thao tác quay lại của người dùng; thay vì đưa họ trở về trang trước đó, đoạn script sẽ tự động chuyển hướng sang một trang độc hại khác, khiến nạn nhân bị “mắc kẹt” trong chuỗi trang lừa đảo, và kỹ thuật này đặc biệt hiệu quả trên các trình duyệt dựa trên WebKit như Safari và các trình duyệt iOS, trong khi ảnh hưởng trên các nền tảng khác được ghi nhận ở mức hạn chế.


Mục tiêu tấn công


Mục tiêu của chiến dịch tấn công lần này chủ yếu là người dùng iPhone và iPad, đặc biệt những người truy cập internet bằng Safari hoặc các trình duyệt trên iOS vốn đều dựa trên WebKit; mã quảng cáo độc hại (malvertising payload) được phân phối thông qua các mạng quảng cáo kém kiểm duyệt, sau đó chuyển hướng nạn nhân tới những trang lừa đảo như khảo sát nhận gift card giả mạo, ứng dụng giả, cảnh báo nhiễm virus không có thật hoặc các nội dung scam tương tự nhằm đánh cắp thông tin và trục lợi.

Chuỗi chuyển hướng nhiều tầng trước khi đến trang đích
Click-chains - Nguồn: Confiant

Người dùng truy cập một website hợp pháp → website này tải quảng cáo từ một ad network → quảng cáo chứa script độc hại → script tiếp tục gọi đến các domain trung gian khác → cuối cùng chuyển hướng nạn nhân đến trang lừa đảo (scam page).


Tình trạng cập nhật và vá lỗi


  • Lỗ hổng này đã được báo cáo cho Apple từ ngày 29/9/2025, và một bản vá bảo mật đã được phát hành thông qua cập nhật Safari xác định là HT213600 vào ngày 23/1/2026.

  • Người dùng iOS/Safari chưa cập nhật bản vá này vẫn dễ bị khai thác.

  • Trước đó, Apple cũng đã vá nhiều lỗ hổng WebKit khác trong các bản iOS gần đây nhằm ngăn chặn việc xử lý web độc hại dẫn đến crash, redirect bất thường hay khai thác mã tùy ý.


Vì sao WebKit liên tục trở thành mục tiêu?


WebKit là thành phần trình duyệt được Apple sử dụng cho Safari và bắt buộc cho mọi trình duyệt trên iOS do chính sách nền tảng. Điều này khiến mọi lỗ hổng trong WebKit đều có tiềm năng rộng impact trên hàng trăm triệu thiết bị. Các lỗ hổng zero-day WebKit thường bị xếp vào danh sách cảnh báo cao cấp bởi nhóm bảo mật toàn cầu khi có dấu hiệu bị khai thác thực tế (exploit in the wild).


Lời khuyên bảo mật - Cập nhật ngay!


Để giảm nguy cơ bị tấn công qua lỗ hổng WebKit nói trên, chuyên gia an ninh khuyến nghị:


  • Cập nhật iOS / Safari ngay lập tức lên bản vá mới nhất bao gồm HT213600.

  • Khi thấy trang redirect bất thường, đóng tab Safari thay vì nhấn Back.

  • Các mạng quảng cáo và đội dev nên kiểm tra nguồn quảng cáo và lọc payload redirect.

  • Ở cấp tổ chức, chặn các domain IOC liên quan đến D-Shortiez ở cấp DNS/net.


iPhone và iPad trong tầm ngắm của D-Shortiez
iPhone và iPad trong tầm ngắm của D-Shortiez - Nguồn: AI

Bối cảnh rộng hơn: Lỗ hổng WebKit không chỉ là một


Không chỉ chiến dịch này, nhiều bản vá WebKit trước đó của Apple đã đóng các lỗ hổng nghiêm trọng khiến trình duyệt xử lý nội dung web độc hại dẫn đến crash hoặc thực thi mã tùy ý. Theo các bản tin bảo mật của Apple, hàng chục lỗi WebKit đã được vá trong các bản iOS mới nhất, kể cả những lỗi bị cho là đã bị khai thác thực tế (zero-day).


Người dùng cần ghi nhớ:


  • iPhone, iPad chạy phiên bản iOS cũ không chỉ dễ bị chiếm quyền điều khiển bởi các chiến dịch malvertising này mà còn có nguy cơ gặp nhiều lỗi bảo mật khác.

  • Khi truy cập các trang web không rõ nguồn qua Safari, hãy cân nhắc bật tính năng bảo mật cao hơn và luôn cập nhật hệ điều hành - đó là hàng rào bảo vệ đầu tiên và mạnh nhất.

Cập nhật iOS để bảo vệ thiết bị khỏi lỗ hổng bảo mật
Cập nhật iOS để bảo vệ thiết bị khỏi lỗ hổng bảo mật - Nguồn: AI

Kết luận


Lỗ hổng WebKit bị D-Shortiez khai thác là minh chứng mới nhất cho thấy các mối nguy trình duyệt web, dù không phải là kỹ thuật mới, nhưng vẫn luôn được kẻ xấu tái sử dụng và tinh chỉnh để gây hại người dùng. Việc cập nhật hệ điều hành và áp dụng các biện pháp an ninh cơ bản là chìa khóa bảo vệ thiết bị của bạn trước các chiến dịch tấn công hiện đại.



Nguồn tham khảo:


Bình luận

LOGO IPSIP vietnam 1

CÔNG TY TNHH MTV IPSIP VIỆT NAM (IPSIP VIETNAM OMLLC)

​MST: 0313859600

🏢 Số SH05.01 Đường B4, Khu Saritown, Phường An Khánh, Thành phố Hồ Chí Minh, Việt Nam

​☎  +84 91 885 30 68

  • Linkedin
  • Facebook
  • TikTok
  • Email liên h��ệ
Dịch vụ nổi bật

Giải pháp cho SMEs

SOC 24/7

NOC 24/7

IT Support

An ninh mạng
Cloud

Đăng ký nhận tài liệu, tin tức an ninh mạng chuyên sâu từ IPSIP Việt Nam

bottom of page