Vào tuần trước, hacker mũ trắng Jae Bochs đã cố ý chơi khăm những người dùng iPhone tại hội nghị bảo mật DefCon 2023 bằng bộ công cụ tự chế giá 70 USD để gây cười. Công cụ này đã gửi thông báo không mong muốn tới người nhận bằng cách lợi dụng việc chạy nền của Bluetooth LE.
Theo Bochs, tắt Bluetooth qua menu trên Trung tâm điều khiển (Control Center) là thói quen của hầu hết người dùng iPhone. Cách này nhanh chóng và thuận tiện nhưng sự thật là thao tác này không ngắt hoàn toàn kết nối của Bluetooth mà đơn giản chỉ là chuyển sang chế độ chạy ngầm.
Hacker này giải thích, thực tế thao tác trên của người dùng chỉ yêu cầu iPhone ngắt tất cả thiết bị đang kết nối trực tiếp. Khi đó, Bluetooth vẫn hoạt động để nhận diện các thiết bị Apple khác xung quanh. Chỉ khi người dùng truy cập vào Cài đặt > Bluetooth và chuyển công tắc sang Tắt thì ứng dụng mới tắt hoàn toàn.
Bochs cho biết, kẻ xấu có thể khai thác nó cho mục đích bất chính, thậm chí là ăn cắp mật khẩu của người dùng. Chẳng hạn kẻ xấu có thể gửi yêu cầu đến người khác kết nối AppleID hoặc chia sẻ mật khẩu với Apple TV gần đó.
Apple đã đề cập vấn đề Bluetooth và Wi-Fi chạy ngầm khi người dùng tắt ở Trung tâm điều khiển trên trang hỗ trợ. Tuy nhiên, đa số người dùng vẫn hiểu lầm. Vì vậy, theo chuyên gia bảo mật Jaime Blasco của Nudge Security hãng nên có một phím tắt nhanh có thể cho phép tắt hoàn toàn kết nối kể trên.
Apple chưa đưa ra bình luận vào về vấn đề này.