18/06/2015 18:54 GMT+7

Két an toàn trong OS X và iOS có thể thủng

PHONG VÂN

TTO - Một lỗi bảo mật nguy hiểm chưa có bản vá có thể bị khai thác chiếm các mật khẩu lưu trữ trong hệ điều hành Mac OS X và iOS của Apple.

Kiểu tấn công XARA đe dọa hai hệ điều hành của Apple: Mac OS X và iOS - Ảnh minh họa: TechnoBuffalo

Các nhà nghiên cứu gồm những giáo sư và tiến sĩ tại ĐH Indiana và Peking, cùng Viện Công nghệ Georgia (Mỹ) đã khám phá một lỗi bảo mật cấp độ nguy hiểm, ở dạng zero-day (hay 0-day: chưa được khắc phục từ nhà phát triển phần mềm) trong cả hai hệ điều hành cho máy tính và thiết bị di động của Apple, gồm Mac OS X và iOS.

Lỗi có thể bị tin tặc lợi dụng tạo các ứng dụng gây hại đánh cắp mật khẩu (password) tài khoản ngân hàng, "đám mây" iCloud hay Gmail, đồng thời có thể chạm tay đến dữ liệu lưu trữ trong "két sắt" an toàn 1Password (*), ứng dụng ghi chú Evernote và những ứng dụng khác.

Các nhà nghiên cứu thử nghiệm đưa ứng dụng mã độc lên chợ ứng dụng Mac và iOS của Apple, và khi cài đặt lên máy tính hay thiết bị của nạn nhân (iPhone, iPad), nó đánh cắp các mật khẩu lưu trong "két an toàn" hệ thống Keychain và những mã khóa bí mật (token) của "đám mây" iCloud, tài khoản email, mạng xã hội, Gmail, ngân hàng trực tuyến... những dữ liệu khác lưu trữ trong Google Chrome.

Nhóm thử nghiệm tấn công thành công ngay cả trên bản cập nhật 10.10.3 mới nhất của hệ điều hành Mac OS X Yosemite.

Sáu nhà nghiên cứu đã khám phá ra nhiều điểm yếu trong tiến trình Apple kiểm tra và yêu cầu các ứng dụng kiểm tra dung lượng, truyền thông giữa các ứng dụng. Nhóm gọi đây là dạng thức XARA, truy cập chéo dữ liệu trái phép giữa các ứng dụng, có thể bị khai thác tấn công theo bốn hướng từ những ứng dụng đã có mặt trong App Store.

88,6% tổng số 1.612 ứng dụng cho Mac OS X và 200 ứng dụng iOS "phơi mình trước lỗi", có thể bị khai thác tấn công dạng XARA, cho phép các ứng dụng gây hại đánh cắp dữ liệu

Thống kê của nhóm nghiên cứu từ ĐH Indiana, ĐH Peking, và Viện Công nghệ Georgia - Nguồn: The Register

Theo báo Anh The Register, nhóm nghiên cứu đã thông báo đến Apple sáu tháng trước.

Apple chưa có phản hồi chính thức nào về vụ việc.

Về phía nhóm bảo mật Chromium từ Google đã loại bỏ việc tích hợp "két sắt an toàn" Keychain trong trình duyệt Chrome.

(*) 1Password là ứng dụng "két sắt an toàn" lưu trữ tất cả mật khẩu tài khoản, và người dùng chỉ cần nhớ một mật khẩu duy nhất. 1Password được sử dụng rất phổ biến, xếp thứ ba trên bảng xếp hạng của chợ ứng dụng Mac App Store. Vừa qua, ứng dụng chức năng tương tự 1Password là LastPass cũng vừa bị tin tặc tấn công và đánh cắp dữ liệu người dùng.

PHONG VÂN