Lỗ hổng mới của iOS cho phép hacker ăn cắp Apple ID qua pop-up

Một lỗ hổng, hay đúng hơn là "sơ suất" của Apple trong thiết kế giao diện người dùng cho phép hacker tạo ra một popup yêu cầu người dùng nhập mật mã Apple ID.

Theo ArsTechnica, iOS thường ngẫu nhiên hiển thị một popup (cửa sổ nổi lên trên các ứng dụng khác) yêu cầu người dùng nhập mật khẩu tài khoản Apple ID của họ mỗi khi cài đặt, cập nhật ứng dụng, hay để hoàn thành một việc gì đó quan trọng như đăng xuất khỏi iCloud... Người dùng đã quá quen thuộc với popup này đến nỗi họ cứ thẳng tay nhập mật khẩu vào mà không hề suy nghĩ xem liệu có vấn đề gì khác hay không.

lo hong moi cua ios cho phep hacker an cap apple id qua pop up

Thế nhưng, lập trình viên di động Felix Krause đã phát hiện ra rằng những popup này lại tiềm ẩn một lỗ hổng bảo mật cho phép hacker ăn cắp tài khoản của người dùng. Trên trang blog của mình, anh đã đưa ra hai hình ảnh (ở đầu bài) cho thấy popup "chính chủ" của iOS và popup do anh tạo ra bằng ứng dụng của mình chỉ với dưới 30 dòng mã (popup này có thể được chèn vào các ứng đã được Apple kiểm duyệt trên App Store). Có thể thấy, chúng không khác gì nhau!

Krause đã chỉ ra rằng popup yêu cầu mật khẩu của Apple quá thông thường đến nỗi không có cách nào để phân biệt giữa nó với các popup tương tự được tạo ra bởi các ứng dụng bên thứ 3. Và người dùng thì lầm tưởng mọi popup yêu cầu mật khẩu đều là một.

"iOS nên có biện pháp phân biệt rõ giữ giao diện hệ thống với giao diện ứng dụng, để một người dùng smartphone với kiến thức trung bình cũng có thể nhận thấy được" - Krause cho biết. "Đây là một vấn đề khó giải quyết. Thậm chí các trình duyệt web cũng có thể tạo ra các popup nhìn giống hệt popup của macOS/iOS, khiến người dùng nghĩ đó là popup của hệ thống chứ không phải của một website nào đó".

lo hong moi cua ios cho phep hacker an cap apple id qua pop up

Trong khi đợi câu trả lời cũng như những giải pháp đến từ Apple, người dùng iOS có thể tự bảo vệ mình khi gặp một popup yêu cầu mật khẩu theo cách sau: hãy nhấn nút Home.

Tại sao? Bởi khi bạn nhấn nút Home để ra màn hình chính mà popup này vẫn không biến mất thì đây chắc chắn là popup "chính chủ" của iOS. Còn ngược lại, nhiều khả năng đó là một popup giả mạo!

Krause còn đề xuất người dùng đừng bao giờ nhập bất kỳ thông tin nào vào các popup như vậy. Thay vào đó chúng ta nên tạm thời bỏ qua nó, vào phần Cài đặt và nhập mật khẩu ngay trong đó.

Một giải pháp khác là bạn có thể sử dụng tính năng "Xác nhận 2 bước" của Apple, tức là yêu cầu phải nhập số điện thoại xác nhận kèm theo mật mã. Biện pháp này khá an toàn, tuy nhiên không phải là an toàn nhất, có thể vẫn bị qua mặt bằng phương pháp tương tự như popup ở trên. Krause cho biết không sớm thì muộn, các hacker cũng sẽ có thể "bẻ khóa" bất kỳ phương thức bảo mật nào, bằng nhiều cách thức khác nhau.

chọn
Một doanh nghiệp dự chi gần 18.000 tỷ xây loạt cao ốc 25-40 tầng ven biển Bình Sơn - Ninh Chữ
Khu đô thị biển Bình Sơn - Ninh Chữ (khu K2) do Hacom Holdings làm chủ đầu tư vừa qua đã được điều chỉnh tổng vốn thành 17.779 tỷ đồng, tiến độ thực hiện từ quý III/2024 - quý I/2029.