Có lẽ iOS đã qua giai đoạn hoàng kim là một trong những hệ điều hành di động bảo mật nhất trên thế giới, bởi ngày càng có nhiều lỗ hổng mới trên iOS bị phát hiện, đặt người dùng trước nguy cơ bị tấn công và đánh cắp dữ liệu cá nhân.
Theo Softpedia, công ty bảo mật Symantec mới đây đã phát hiện ra một lỗ hổng bảo mật mới cho phép mã độc truy cập dữ liệu lưu trữ trên iPhone, theo dõi mọi nhất cử nhất động của người dùng theo thời gian thực. Tất cả chỉ thông qua việc kết nối iPhone với một chiếc laptop.
Phương pháp có tên Trustjacking lợi dụng cơ chế cấp quyền truy cập của iPhone sau khi kết nối với laptop hoặc PC.
Khi bạn kết nối iPhone với cổng USB của máy tính, người dùng thường sẽ được hỏi về việc họ có tin tưởng thiết bị đang kết nối với iPhone hay không. Nếu người dùng xác nhận cấp quyền truy cập, coi như bạn đã “mở cửa” mời tin tặc tấn công mình.
Ngay cả khi bạn khi không cấp quyền truy cập hoặc ngắt kết nối thiết bị với máy tính, điều đó cũng không đảm bảo 100% bạn đã an toàn. Bởi lẽ, tính năng đồng bộ iTunes qua Wi-Fi có thể là kẽ hở giúp tin tặc khai thác và điều kiện iPhone từ xa.
Apple đã được báo về lỗ hổng bảo mật nhưng tỏ ra khá “bàng quan”
Nhà nghiên cứu bảo mật Adi Sharabani tại Symantec khẳng định, ông đã phát hiện ra lỗ hổng trên trong một lần tình cờ. Thậm chí, bất cứ ai sau khi đã có quyền truy cập vào iPhone có thể tiếp cận dữ liệu camera, tin nhắn, email hoặc thậm chí điều khiển iPhone từ xa.
Một kỹ sư tại Symantec chia sẻ: “Roy đang thực hiện một nghiên cứu và anh ấy kết nối iPhone với máy tính để truy cập. Nhưng thật tình cờ Roy nhận ra rằng, anh không thực sự kết nối với chiếc iPhone của mình. Anh đang kết nối với một trong những chiếc iPhone của đồng nghiệp, người đã mượn máy Roy để kết nối thiết bị hồi tuần trước. Do đó, Roy đã bắt đầu nghiên cứu cơ chế tiếp cận và những hậu quả nếu anh thực sự là kẻ tấn công dữ liệu của đồng nghiệp”.
Về phía Symantec, công ty đã gửi cảnh báo về lỗi trên với phía Apple. Nhưng công ty chỉ bổ sung thêm lớp bảo mật “cho có” khi yêu cầu nhập mật khẩu lúc xác thực kết nối iPhone với máy tính. Trên thực tế, lớp bảo mật này không thực sự giải quyết được tận gốc vấn đề.
Kỹ sư Roy Iarchy xác nhận: “Mặc dù chúng tôi đánh giá cao những biện pháp mà Apple đã áp dụng. Tuy nhiên chúng tôi muốn nhấn mạnh rằng, biện pháp đó không hề giải quyết được trọn vẹn lỗ hổng Trustjacking. Một khi người dùng đã chọn tin kết nối máy tính, quá trình khai thác dữ liệu vẫn sẽ tiếp diễn”.
Apple hiện chưa đưa ra công bố nào về phương thức tấn công Trustjacking mới đối với người dùng iPhone.
Mai Huyền
Theo Softpedia, công ty bảo mật Symantec mới đây đã phát hiện ra một lỗ hổng bảo mật mới cho phép mã độc truy cập dữ liệu lưu trữ trên iPhone, theo dõi mọi nhất cử nhất động của người dùng theo thời gian thực. Tất cả chỉ thông qua việc kết nối iPhone với một chiếc laptop.
Phương pháp có tên Trustjacking lợi dụng cơ chế cấp quyền truy cập của iPhone sau khi kết nối với laptop hoặc PC.
Khi bạn kết nối iPhone với cổng USB của máy tính, người dùng thường sẽ được hỏi về việc họ có tin tưởng thiết bị đang kết nối với iPhone hay không. Nếu người dùng xác nhận cấp quyền truy cập, coi như bạn đã “mở cửa” mời tin tặc tấn công mình.
Ngay cả khi bạn khi không cấp quyền truy cập hoặc ngắt kết nối thiết bị với máy tính, điều đó cũng không đảm bảo 100% bạn đã an toàn. Bởi lẽ, tính năng đồng bộ iTunes qua Wi-Fi có thể là kẽ hở giúp tin tặc khai thác và điều kiện iPhone từ xa.
Apple đã được báo về lỗ hổng bảo mật nhưng tỏ ra khá “bàng quan”
Nhà nghiên cứu bảo mật Adi Sharabani tại Symantec khẳng định, ông đã phát hiện ra lỗ hổng trên trong một lần tình cờ. Thậm chí, bất cứ ai sau khi đã có quyền truy cập vào iPhone có thể tiếp cận dữ liệu camera, tin nhắn, email hoặc thậm chí điều khiển iPhone từ xa.
Một kỹ sư tại Symantec chia sẻ: “Roy đang thực hiện một nghiên cứu và anh ấy kết nối iPhone với máy tính để truy cập. Nhưng thật tình cờ Roy nhận ra rằng, anh không thực sự kết nối với chiếc iPhone của mình. Anh đang kết nối với một trong những chiếc iPhone của đồng nghiệp, người đã mượn máy Roy để kết nối thiết bị hồi tuần trước. Do đó, Roy đã bắt đầu nghiên cứu cơ chế tiếp cận và những hậu quả nếu anh thực sự là kẻ tấn công dữ liệu của đồng nghiệp”.
Về phía Symantec, công ty đã gửi cảnh báo về lỗi trên với phía Apple. Nhưng công ty chỉ bổ sung thêm lớp bảo mật “cho có” khi yêu cầu nhập mật khẩu lúc xác thực kết nối iPhone với máy tính. Trên thực tế, lớp bảo mật này không thực sự giải quyết được tận gốc vấn đề.
Kỹ sư Roy Iarchy xác nhận: “Mặc dù chúng tôi đánh giá cao những biện pháp mà Apple đã áp dụng. Tuy nhiên chúng tôi muốn nhấn mạnh rằng, biện pháp đó không hề giải quyết được trọn vẹn lỗ hổng Trustjacking. Một khi người dùng đã chọn tin kết nối máy tính, quá trình khai thác dữ liệu vẫn sẽ tiếp diễn”.
Apple hiện chưa đưa ra công bố nào về phương thức tấn công Trustjacking mới đối với người dùng iPhone.
Mai Huyền