Bị Apple phủ nhận công lao, nhà nghiên cứu công khai luôn 3 lỗ hổng zero-day trên iOS 15

Code proof-of-concept (PoC) của 3 lỗ hổng zero-day vừa được đăng tải công khai trên GitHub sau khi Apple trì hoãn việc khắc phục. Nhà nghiên cứu giấu tên công bố 3 lỗ hổng này đã phát hiện ra tổng cộng 4 lỗ hổng trong khoảng thời gian từ 10/3 đến 04/5 và báo cáo cho Apple.

Tuy nhiên, Apple đã âm thầm vá một trong số chúng vào tháng 7 khi tung ra iOS 14.7 nhưng lại không có lời cảm ơn dành cho nhà nghiên cứu.

"Khi tôi hỏi họ, họ đã xin lỗi và đảm bảo với tôi rằng đây chỉ là sự cố trong việc xử lý, họ hứa rằng sẽ liệt kê điều đó trên trang nội dung của bản cập nhật tiếp theo", nhà nghiên cứu giấu tên chia sẻ. "Từ đó đến nay đã có 3 bản cập nhật được tung ra và lần nào họ cũng thất hứa".

Tệ hơn, Apple không công nhận và không vá 3 lỗ hổng zero-day khác mà nhà nghiên cứu này báo cáo. Mọi nỗ lực liên lạc với Apple của anh đều thất bại, không hề nhận được phản hồi.

Quá tức giận với thái độ của Apple, nhà nghiên cứu Denis Tokarev với biệt danh illusionofchaos quyết định công khai PoC của 3 lỗ hổng chưa được vá cùng với PoC của lỗ hổng đã được vá trong iOS 14.7 lên GitHub.

• Lỗ hổng Game 0-day: Có thể khai thác thông qua các ứng dụng do người dùng cài đặt từ App Store và cấp quyền trái phép vào những dữ liệu nhạy cảm. Kẻ tấn công có thể thu thập được emai Apple ID và tên đầy đủ liên kết với nó, mã thông báo xác thực Apple ID cùng các thông tin nhạy cảm khác.
• Lỗ hổng Nehelper Liệt kê các ứng dụng đã cài đặt 0-day: Cho phép bất kỳ ứng dụng nào do người dùng cài dặt xác định xem có bất kỳ ứng dụng nào được cài đặt trên thiết bị với gói ID của nó.
• Nehelper Thông tin WiFi 0-day: Cho phép mọi ứng dụng đủ điều kiện có thể truy cập thông tin WiFi mà không cần quyền bắt buộc.
• Analyticsd (đã sửa trong iOS 14.7): Cho phép mọi ứng dụng do người dùng cài đặt truy cập vào nhật ký phân tích liên quan tới thông tin sức khỏe, y tế, thông tin sử dụng thiết bị

Một số chuyên gia bảo mật xác nhận các lỗ hổng zero-day chưa được vá có thể hoạt động trên iOS 15.0, bản iOS mới nhất của Apple.

Cập nhật phản hồi từ phía Apple

Sau khi Denis Tokarev công khai những lỗ hổng zero-day của iOS 15, Apple đã có những phản hồi như sau:

"Chúng tôi đã thấy bài đăng trên blog của bạn và các báo cáo khác liên quan tới vấn đề này. Chúng tôi xin lỗi vì sự chậm trễ trong việc trả lời bạn", một nhân viên của Apple viết.

"Chúng tôi muốn cho bạn biết rằng chúng tôi vẫn đang điều tra những vấn đề này và cách chúng tôi có thể giải quyết chúng để bảo vệ khách hàng. Một lần nữa, cảm ơn bạn vì đã dành thời gian báo cáo những vấn đề này cho chúng tôi, chúng tôi đánh giá cao sự hỗ trợ của bạn. Xin vui lòng cho chúng tôi biết nếu bạn có bất kỳ câu hỏi nào".

Theo Motherboard, đây chính xác là nội dung trong email phản hồi từ Apple bởi nó được gửi từ một máy chủ do Apple sở hữu. Motherboard cũng hỏi ý kiến một số chuyên gia trong ngành infosec về phản hồi của Apple và kết quả là rất ít người ủng hộ.

"Tôi rất vui vì Apple đang xem xét vấn đề này một cách nghiêm túc hơn. Nhưng xem xét kỹ hơn thì nó giống như một hành động nhằm dẹp bỏ dư luận xấu chứ không hề có ý tôn trọng nhà nghiên cứu", Nicholas Ptacek, một chuyên gia bảo mật của SecureMac chia sẻ. SecureMac là công ty an ninh mạng tập trung vào máy tính Mac của Apple.

"Mặc dù chương trình săn lỗi nhận thưởng của Apple đã có tuổi đời 5 năm nhưng cách mà họ xử lý trong vụ việc này quá là bất bình thường", bà Katie Moussouris nhận định. Moussouris là chuyên gia an ninh mạng, người được cho là khai sinh khái niệm săn lỗi nhận thưởng vào khoảng 10 năm trước khi bà còn làm việc tại Microsoft.

Chương trình săn lỗi nhận thưởng của Apple thực sự có vấn đề

Phía Apple thì luôn đưa ra tuyên bố rằng chương trình săn lỗi nhận thưởng của họ là một thành công vượt trội. Tuy nhiên, cộng đồng infosec lại có nhiều chỉ trích và lo ngại về chương trình này.

Các lỗi vấn đề mà Apple thường mắc gồm không phản hồi hoặc không phản hồi kịp thời các báo cáo lỗ hổng của nhà nghiên cứu bảo mật. Nghiêm trọng hơn, Apple thường xuyên từ chối thanh toán cho các báo cáo lỗ hổng phù hợp với các nguyên tắc của chương trình săn lỗi nhận thưởng mà chính họ đưa ra.

Đầu tháng 9/2021, Apple đã thue một chuyên gia về làm giám đốc mới cho chương trình săn lỗi nhận thưởng. Hy vọng rằng trong tương lai vị giám đốc này sẽ có những cải tiến đáng kể cho chương trình này.

Quản Trị Mạng sẽ tiếp tục cập nhật thông tin cho các bạn tiện theo dõi!