Apple đang treo giải 1 triệu đô dành cho những chuyên gia bảo mật thông tin. Cụ thể, giải này sẽ dành cho bất kì ai có thể tìm ra lỗ hổng bảo mật trên iPhone.
Đây có thể là mức cao nhất từ trước đến giờ 1 công ty chi ra để đảm bảo an toàn cho sản phẩm. Theo như Reuters, đây là một bước đi kì lạ của Apple. Trước giờ, công ty chỉ chi tiền cho một số chuyên gia nhất định. Nhưng lần này, tất cả những nhà nghiên cứu đều có phần. Không chỉ lỗ hổng trên iPhone mà cả Mac , dịch vụ Cloud và dịch vụ đi kèm của Apple đều được.
Danh sách phần thưởng của Apple rất đa dạng, món tiền nhỏ cho những lỗi thông thường. Đến món tiền lớn hơn cho những lỗi bảo mật nghiêm trọng. Nhưng, đáng chú ý nhất là số tiền 1 triệu đô cho ai tìm được cách truy cập lõi của iPhone từ xa. Tất nhiên là không được đụng người dùng hay là đụng đến chiếc iPhone. Chỉ duy nhất truy cập từ xa mới được chấp nhận là đủ tiêu chuẩn. Không chỉ 1 triệu đô, Apple còn cung cấp cho người thắng cuộc 1 chiếc iPhone đặc biệt. Chiếc iPhone này có thể dùng làm công cụ cho những nhà nghiên cứu.
Đã có phương pháp đánh lừa FaceID
Trong phạm vi đó, phần thưởng cao nhất dành cho một thông báo lỗi là 200.000$. Và tất nhiên phải cung cấp được chi tiết để vá lỗi trên bản cập nhật iOS tiếp theo.
Trong hội nghị Black Hat ( Hacker mũ đen) tại Las Vegas, một nhóm đã tìm ra cách qua mặt FaceID. Nhím này sử dụng một miếng giấy trắng nhỏ đặt lên 1 miếng đen to hơn. Sau đó đặt lên mắt của chủ nhân chiếc iPhone khi đang nhắm mắt. Điều này đánh lừa FaceID rằng chủ chiếc iPhone đang mở mắt và chấp nhận mở khóa. Bởi hệ thống nhận diện sẽ bị đánh lừa màu đen và trắng đó chính là tròng mắt. Chỉ 1 thủ thuật đơn giản mà hệ thống bảo mật Apple tự hào đã bị đánh lừa. Dù ít có khả năng xảy ra, nhưng điều này cũng mang đên rủi ro bảo mật nhất định.
Trước đó, iOS đã được phát hiện những lỗ hổng bảo mật nghiệm trọng.
Hai chuyên gia của Project Zero, nhóm nghiên cứu chuyên tìm kiếm các lỗi bảo mật trên phần mềm do Google thành lập, đã phát hiện thấy 6 lỗi bảo mật nghiêm trọng trên nền tảng iOS hoạt động trên iPhone của Apple.
Các chuyên gia của Google đã thông báo những lỗi bảo mật này đến Apple và 5 trên 6 lỗi đã được vá lại trong bản nâng cấp iOS 12.4 vừa được phát hành. Chi tiết của một lỗi bảo mật còn lại vẫn chưa được công bố vì Apple vẫn chưa thể khắc phục hoàn toàn lỗi bảo mật này.
Theo các chuyên gia bảo mật, 4 trong tổng số 6 lỗi bảo mật vừa phát hiện ra có thể cho phép tin tặc tấn công từ xa thiết bị của người dùng mà không cần phải tương tác trực tiếp. Những gì các tin tặc cần là gửi một tin nhắn không đúng định dạng và có chứa mã độc đến điện thoại của nạn nhân và khi nạn nhân mở tin các tin nhắn này, mã độc sẽ lập tức được thực thi.
Có thể lấy được cả dữ liệu của iPhone
Đáng chú ý 2 trong tổng số 6 lỗi bảo mật vừa được phát hiện này có thể bị lợi dụng để lấy cắp dữ liệu trên iPhone từ xa mà không cần phải tương tác trực tiếp với thiết bị, bao gồm đọc trộm nội dung tin nhắn hoặc xem các hình ảnh có chứa trên iPhone mà người dùng không hay biết.
Theo Natalie Silvanovich, một trong hai chuyên gia bảo mật đã phát hiện ra các lỗi nghiêm trọng kể trên thì hiện tại trên các nền tảng di động như iOS hay Android, có rất ít lỗ hổng bảo mật có thể cho phép tin tặc thực thi mã độc từ xa mà không cần sự tương tác với thiết bị, tuy nhiên điều này không đồng nghĩa với việc các lỗi bảo mật này không tồn tại.
May mắn các lỗi bảo mật nghiêm trọng này đã được phát hiện bởi các chuyên gia bảo mật và thông báo kịp thời đến Apple trước khi chúng bị các tin tặc phát hiện ra và khai thác thực tế, bởi lẽ hậu quả có thể sẽ rất nghiêm trọng và mang lại thiệt hại lớn cho cả Apple lẫn người dùng.
Các chuyên gia bảo mật khuyên người dùng di động (Android lẫn iOS) phải thường xuyên cập nhật kịp thời các nền tảng di động của mình lên phiên bản mới nhất để có thể vá lại các lỗ hổng bảo mật nghiêm trọng có thể tồn tại và mới phát hiện ở các phiên bản cũ.
Nguồn : Gizchina
Di Động Việt
