Lỗ hổng mới của iOS cho phép hacker ăn cắp Apple ID qua pop-up

Theo ArsTechnica, iOS thường ngẫu nhiên hiển thị một popup (cửa sổ nổi lên trên các ứng dụng khác) yêu cầu người dùng nhập mật khẩu tài khoản Apple ID của họ mỗi khi cài đặt, cập nhật ứng dụng, hay để hoàn thành một việc gì đó quan trọng như đăng xuất khỏi iCloud... Người dùng đã quá quen thuộc với popup này đến nỗi họ cứ thẳng tay nhập mật khẩu vào mà không hề suy nghĩ xem liệu có vấn đề gì khác hay không.

Thế nhưng, lập trình viên di động Felix Krause đã phát hiện ra rằng những popup này lại tiềm ẩn một lỗ hổng bảo mật cho phép hacker ăn cắp tài khoản của người dùng. Trên trang blog của mình, anh đã đưa ra hai hình ảnh (ở đầu bài) cho thấy popup "chính chủ" của iOS và popup do anh tạo ra bằng ứng dụng của mình chỉ với dưới 30 dòng mã (popup này có thể được chèn vào các ứng đã được Apple kiểm duyệt trên App Store). Có thể thấy, chúng không khác gì nhau!

Krause đã chỉ ra rằng popup yêu cầu mật khẩu của Apple quá thông thường đến nỗi không có cách nào để phân biệt giữa nó với các popup tương tự được tạo ra bởi các ứng dụng bên thứ 3. Và người dùng thì lầm tưởng mọi popup yêu cầu mật khẩu đều là một.

"iOS nên có biện pháp phân biệt rõ giữ giao diện hệ thống với giao diện ứng dụng, để một người dùng smartphone với kiến thức trung bình cũng có thể nhận thấy được" - Krause cho biết. "Đây là một vấn đề khó giải quyết. Thậm chí các trình duyệt web cũng có thể tạo ra các popup nhìn giống hệt popup của macOS/iOS, khiến người dùng nghĩ đó là popup của hệ thống chứ không phải của một website nào đó".

Trong khi đợi câu trả lời cũng như những giải pháp đến từ Apple, người dùng iOS có thể tự bảo vệ mình khi gặp một popup yêu cầu mật khẩu theo cách sau: hãy nhấn nút Home.

Tại sao? Bởi khi bạn nhấn nút Home để ra màn hình chính mà popup này vẫn không biến mất thì đây chắc chắn là popup "chính chủ" của iOS. Còn ngược lại, nhiều khả năng đó là một popup giả mạo!

Krause còn đề xuất người dùng đừng bao giờ nhập bất kỳ thông tin nào vào các popup như vậy. Thay vào đó chúng ta nên tạm thời bỏ qua nó, vào phần Cài đặt và nhập mật khẩu ngay trong đó.

Một giải pháp khác là bạn có thể sử dụng tính năng "Xác nhận 2 bước" của Apple, tức là yêu cầu phải nhập số điện thoại xác nhận kèm theo mật mã. Biện pháp này khá an toàn, tuy nhiên không phải là an toàn nhất, có thể vẫn bị qua mặt bằng phương pháp tương tự như popup ở trên. Krause cho biết không sớm thì muộn, các hacker cũng sẽ có thể "bẻ khóa" bất kỳ phương thức bảo mật nào, bằng nhiều cách thức khác nhau.

Diễn đàn Đầu tư Việt Nam 2026 - Summer Summit

Thời gian: 11/06/2026
Địa điểm: L7 West Lake Hanoi by Lotte Hotels, Ballroom tầng 4, 683 Lạc Long Quân, Tây Hồ, Hà Nội

Vietnam Investment Forum 2026 - Summer Summit quy tụ đại diện cơ quan quản lý, lãnh đạo ngân hàng, công ty chứng khoán, quỹ đầu tư, giám đốc phân tích và các chuyên gia kinh tế độc lập, tập trung vào bức tranh vĩ mô, AI & Big Data và chiến lược tìm kiếm Alpha trong nửa cuối năm 2026.

Ba phiên thảo luận chính:

Phiên thảo luận 1: Vĩ mô 2026 - Việt Nam trước các cú sốc từ bên ngoài và cơ hội từ bên trong
Phiên thảo luận 2: AI & Big Data - Từ lợi thế ra quyết định đến thế hệ sản phẩm đầu tư mới
Phiên thảo luận 3: Cơ hội tìm kiếm Alpha trên thị trường chứng khoán và các kênh tài sản phổ biến

Tìm hiểu chương trình tại VIF 2026 Summer Summit.

Tham gia khảo sát "Dự báo của bạn về nửa cuối năm 2026" để có cơ hội nhận vé mời đặc biệt từ Ban Tổ chức.

Đặt vé Early Bird
(giảm giá 30%) Dự báo của bạn
về nửa cuối năm 2026