FireEye cho biết một lỗ hổng trong hệ điều hành iOS của Apple cho phép các ứng dụng giả mạo, có thiết kế giống các ứng dụng thật như ứng dụng thanh toán hoặc email, thay thế ứng dụng chính hãng được cài đặt từ App Store. Sau khi cài đặt, các ứng dụng này tự động truy cập vào thông tin cá nhân của người dùng và gửi chúng cho tin tặc mà không cần sự cho phép của người dùng. FireEye gọi kiểu tấn công này là "Masque Attack".

Apple đã tung ra các tính năng bảo mật cho OS X và iOS của hãng nhằm cạnh tranh với Android của Google. Tuy nhiên, lỗ hổng mới được phát hiện cho thấy iOS ngày càng trở nên không an toàn.

FireEye cho biết lỗ hổng này ảnh hưởng tới tất cả các thiết bị di động của Apple chạy iOS 7 hoặc mới hơn, bất kể thiết bị đã được jailbreak hay chưa. Điều này có nghĩa là khoảng 95% thiết bị di động của Apple đang có nguy cơ bị tấn công.

Đây là lần thứ hai trong vài tuần các nhà nghiên cứu phát hiện ra những lỗ hổng an ninh trên iOS. Tuần trước, hãng bảo mật Palo Alto Networks đã phát hiện ra một mã độc tấn công vào iPhone cho phép cài đặt các ứng dụng chưa được phê duyệt tải về từ Internet lên iPhone khi iPhone kết nối với máy tính Mac. Mã độc này được đặt tên là  "WireLurker" và được phát hiện tại Trung Quốc, nó dựa trên lỗ hổng tương tự lỗ hổng mà FireEye phát hiện ra.

FireEye đã thông báo vấn đề này với Apple từ tháng Bảy và quyết định công bố nó sau khi Palo Alto Networks công bố phát hiện của họ. "Chúng tôi nghĩ nó là vấn đề khẩn cấp và cần phải cho người dùng biết vì còn có nhiều cuộc tấn công chưa được các hãng bảo mật phát hiện ra", FireEye cho biết.

Tuần trước, Apple cho biết đã tìm ra lỗ hổng mà Palo Alto Networks báo cáo, và đã có giải pháp khắc phục."Như mọi khi, chúng tôi khuyên người dùng tải về và cài đặt phần mềm từ các nguồn đáng tin cậy", Apple cho biết.

Apple chưa bình luận gì về lỗ hổng mới mà FireEye vừa báo cáo.