Một nhóm các chuyên gia bảo mật đã cảnh báo Apple về lỗ hổng trong iOS và OS X có thể làm lộ mật khẩu của người dùng. Tuy nhiên, nhà sản xuất iPhone, iPad im lặng.
Trong báo cáo mới công bố, nhóm nghiên cứu giải thích họ đã thử nghiệm một loạt cuộc tấn công để qua mặt biện pháp kiểm tra bảo mật, đánh cắp mật khẩu và thậm chí cả dữ liệu ứng dụng quan trọng. Lỗ hổng tồn tại trên các thiết bị Apple như iPhone, iPad, Mac. Theo báo cáo, dựa trên phương thức Apple phát triển để các phần mềm tương tác với nhau, nhóm có thể “đánh cắp thông tin tối mật như mật khẩu iCloud, email, ngân hàng, token của Evernote”.
Về cơ bản, nhóm viết một mã độc tải lên App Store dưới dạng ứng dụng thông thường, sau đó lấy đi thông tin quan trọng từ các ứng dụng có sẵn trên điện thoại. Các thông tin này bao gồm mật khẩu và các dữ liệu quý giá khác của phần mềm.
Luyi Xing, trưởng nhóm nghiên cứu, cho biết nhóm của anh có thể “giành quyền truy cập trái phép đến dữ liệu nhạy cảm trên các ứng dụng khác như mật khẩu, token từ iCloud, Mail và tất cả mật khẩu web lưu trên Google Chrome”. Theo trang Register, Xing và nhóm đã thông báo cho Apple từ tháng 10/2014 song công ty xin 6 tháng để xử lý. Thời hạn 6 tháng đã trôi qua nhưng đến nay, lỗ hổng vẫn chưa được giải quyết.
Nhóm thử loại tấn công này với lượng lớn mẫu ứng dụng trên App Store và phát hiện “hơn 88,6%” không an toàn. Trong số này, có cả các tên tuổi nổi tiếng như công cụ quản lý mật khẩu 1Password hay Google Chrome.
Báo cáo kết luận hậu quả của các cuộc tấn công là vô cùng nghiêm trọng, bao gồm lộ mật khẩu người dùng, token và tất cả tài liệu nhạy cảm. Lỗ hổng có thể nhanh chóng biến thành “thảm họa” cho Apple nếu kẻ xấu lợi dụng nó và không có cách nào để biết đã có cuộc tấn công nào sử dụng phương thức này chưa. Về phần Apple, công ty cần tìm ra cách vá lỗ hổng trên cả iOS và Mac OS X.
Theo ICTnews/BI