Apple đang lặp lại “vết xe đổ” của Microsoft?

“Máy tính Apple an toàn, miễn nhiễm virus”. Câu nói này đã bị chứng minh là sai lầm khi vài năm qua, Mac, iPad và iPhone đều gặp không ít vấn đề về bảo mật.

6 tháng đầu năm 2015, đã có 5 lỗ hổng lớn ảnh hưởng đến các sản phẩm Apple. Tuần trước, các nhà nghiên cứu phát hiện lỗ hổng cho phép hacker che giấu virus sâu bên trong Mac để không ai tìm ra được. Một tuần trước đó, ứng dụng nhắn tin trên iPhone “sập” ngay khi nhận tin nhắn chứa chuỗi ký tự lạ. Chúng đều là các vấn đề nghiêm trọng song chưa được giải quyết.

Khiếm khuyết là điều phổ biến của mỗi hệ điều hành, ứng dụng, phần mềm. Tuy nhiên, Apple đang áp dụng chiến lược lỗi thời để xử lý chúng. Apple không thể mạnh miệng quảng cáo sản phẩm của mình an toàn hơn Windows được nữa. “Nhà táo” đang ở vào vị trí của Microsoft một thập kỷ trước.

Các vấn đề của Apple

Theo các kỹ sư máy tính, hacker và người thân cận với vấn đề, cách tiếp cận bảo mật của Apple tồn tại 5 sai lầm:

Xuất hiện những vấn đề bảo mật trên các sản phẩm của Apple
Ảnh minh họa

1. Không cập nhật bản vá đều đặn, thường xuyên

Năm 2014, Apple mất tới 100 ngày để vá lỗi được Google phát hiện. Thậm chí, bản vá bị đánh giá là quá yếu và dễ bị hacker qua mặt. Trong khi đó, năm 2012, Oracle nhanh chóng vá lỗ hổng trong Java để ngăn chặn malware chuyên đánh cắp dữ liệu Flashback. Tuy nhiên, Apple mất tới 2 tháng để sửa lỗi dù ước tính có tới 650.000 máy Mac bị ảnh hưởng.

Tod Beardsley, Giám đốc nghiên cứu của hãng bảo mật Rapid7, đánh giá Apple không có lịch vá đều đặn như Microsoft hay vá lỗi liên tục như Google làm với Chrome. Đôi khi, các bản vá khó phát triển, đôi khi chúng đến chậm hơn mong đợi.

Tất nhiên, nếu vội vàng đưa ra bản vá sẽ gây hiệu ứng ngược. Trong vấn đề này, Apple xem các lỗi như sản phẩm của mình và áp dụng cách tiếp cận “chậm mà chắc”. Song, chờ đợi quá lâu đe dọa hậu quả khôn lường, khiến người dùng Apple dễ bị tổn thương trước các cuộc tấn công của hacker.

2. Im lặng về lỗ hổng trong sản phẩm

Chẳng hạn, Apple không thừa nhận lỗ hổng mới nhất trong Mac. Dù đã biết về lỗi trong ứng dụng nhắn tin và đưa ra lời khuyên cho người dùng, Apple không giải thích căn nguyên của vấn đề. “Apple luôn làm theo cách bí mật. Hãng nổi tiếng kín tiếng khi phải lên tiếng về sự tồn tại của các sự cố bảo mật”, Beardsley nhận xét. Song sự minh bạch trong trường hợp này tốt hơn cho người dùng và giúp cộng đồng lập trình viên khổng lồ của Apple có thể đưa ra các bản vá đề xuất.

3. Bản cập nhật chỉ dành cho phần mềm mới nhất

Nếu vẫn đang dùng hệ điều hành Mac cũ, bạn sẽ bị Apple “tảng lờ”. Ví dụ, Apple đã vá một lỗ hổng bảo mật nghiêm trọng từ tháng 4/2015 nhưng chỉ dành cho phiên bản mới nhất là Yosemite. Điều đó đồng nghĩa với 47% người dùng còn lại, những ai đang dùng Mavericks, Mountain Lion, Lion, Snow Leopard, gặp nguy hiểm. Giải pháp “chữa cháy” của Apple là cho phép khách hàng cập nhật miễn phí lên bản mới nhất, song không phải laptop cũ nào cũng đủ sức chạy hệ điều hành mới.

4. Không chịu chi tiền

Apple dù sở hữu khối tài sản kếch xù nhưng lại tỏ ra keo kiệt đối với những người có công phát hiện ra lỗ hổng nghiêm trọng trong sản phẩm của mình. Trong khi các tên tội phạm sẵn sàng bỏ ra 150.000 USD để có được lỗ hổng trong iPhone, Apple nhất quyết nói không.

5. Không thừa nhận sai lầm

Đây là điều khiến cộng đồng giận dữ nhất. Apple không có xu hướng nhận lỗi khi phát sinh vấn đề. Năm 2014, khi tin tặc đột nhập vào tài khoản iCloud của người nổi tiếng và phát tán ảnh khỏa thân của họ, Tổng Giám đốc Tim Cook cho biết sẽ tăng cường các biện pháp bảo mật nhưng không quên đổ lỗi cho người dùng và nói vấn đề “không hoàn toàn là lỗi kỹ thuật”.

Tuy nhiên, việc không đưa các tính năng an ninh mạng nhằm ngăn chặn tài khoản bị xâm phạm, chẳng hạn xác minh hai bước, rõ ràng là vấn đề kỹ thuật. Sau cùng, Apple cũng phải bổ sung tính năng quan trọng này cho iCloud.
Theo nhà nghiên cứu bảo mật Xeno Kovah, ngay cả trong các tình huống nghiêm trọng nhất, khi anh báo cáo một lỗ hổng lớn cho đội xử lý của Apple, công ty vẫn “không nhanh nhạy hay chính xác” như các hãng khác. Nó tệ đến mức năm 2012, 684 lập trình viên độc lập đã phát động chiến dịch và viết thư kêu gọi Apple nâng cấp hệ thống báo lỗi. Từ đó đến nay, không có nhiều thay đổi được đưa ra.

Tin nhắn này có thể đánh sập ứng dụng nhắn tin trên iPhone
Tin nhắn này có thể đánh sập ứng dụng nhắn tin trên iPhone

Microsoft “vượt khó” như thế nào?

Trả lời CNN, một số hacker Apple giỏi nhất cho rằng hệ thống báo lỗi của Apple cần phải được đại tu tương tự Microsoft đã làm vài năm trước. Nhà phát triển Windows đã trải qua quá trình cải tạo dài hơi và vất vả. 15 năm trước, khi Windows còn là sản phẩm được sử dụng nhiều nhất và bị ghét nhất, nó vẫn còn chứa đầy lỗi. Sau đó, tập đoàn đã từng bước vực dậy uy tín cho Windows.

Năm 2003, Microsoft giới thiệu Patch Tuesday. Mỗi tháng một lần, người dùng được nhận hàng loạt bản cập nhật để giữ an toàn. Năm 2015, Microsoft bắt đầu tổ chức Blue Hat, hội thảo an ninh mạng nhằm gặp mặt trực tiếp các nhà nghiên cứu tích cực nhất. Apple không có được diễn đàn như vậy.

Một trong các chiến lược thành công nhất của Microsoft trong nâng cao bảo mật phải kể đến chương trình “bug bounty” năm 2013. Microsoft ngừng chiến đấu với các hacker mà biến họ thành một đạo quân vệ sỹ của mình. Trong khuôn khổ chương trình, những người có công phát hiện ra lỗ hổng trong sản phẩm, dịch vụ của Microsoft sẽ được trao thưởng với số tiền tối thiểu 500 USD.

Katie Moussouris, cựu Giám đốc chiến lược bảo mật của Microsoft, người đã đưa ra “bug bounty”, hi vọng Apple có thể bắt chước Microsoft một cách nhanh chóng. Bà cho rằng Apple là “nạn nhân thành công của chính nó”. Khi sản phẩm trở nên ngày càng phổ biến, được nhiều người tiếp cận, nhiều lỗi sẽ bị phát hiện hơn.

Tin mừng với người dùng Apple là dường như “táo khuyết” đang lắng nghe và dần thay đổi. Theo một nguồn tin thân cận với vấn đề, công ty đang cố gắng cải thiện cách kết nối với các nhà nghiên cứu. Thách thức lớn hiện nay là làm thế nào xử lý kịp với tốc độ tăng trưởng nhanh chóng. Apple luôn ngập lụt trong các báo cáo về lỗ hổng và họ phải tập trung hơn vào các sự cố lớn, phân biệt lỗi nào là thật, lỗi nào là giả.

Thứ Tư, 10/06/2015 14:00
31 👨 103
0 Bình luận
Sắp xếp theo
    ❖ Tổng hợp