Bộ lọc kém cỏi bên trong ứng dụng Mail của iOS có thể lừa người dùng vô tình nhập mật khẩu iCloud (và tất cả các loại mật khẩu khác) một cách dễ dàng.
Phát hiện lỗ hổng bảo mật trên 1.500 ứng dụng iOS
Các vụ để lộ thông tin cá nhân thường không đến từ các mã độc siêu phàm. Thay vào đó, chúng đến từ các dạng "lừa đảo xã hội" ("social engineering") – lừa người dùng tự cung cấp thông tin nhạy cảm cho kẻ xấu.
Một người dùng Github có tên "jansoucek" đã phát hiện ra một kẽ hổng có thể khiến người dùng iOS tự cung cấp mật khẩu iCloud (cùng bất kỳ loại mật khẩu nào khác) cho kẻ xấu. Tính đến phiên bản iOS mới nhất (iOS 8.3), ứng dụng Mail tích hợp trên iPhone và iPad vẫn chưa tiến hành "lọc" mã HTML được nhúng trong nội dung mail. Jansoucek đã tiến hành khai thác lỗ hổng nói trên bằng cách tạo ra một form HTML trông giống hệt như cửa sổ hỏi mật khẩu của iPhone/iPad. Nếu nhẹ dạ nhập mật khẩu iCloud vào cửa sổ giả mạo này, người dùng sẽ "biếu không" tài khoản Apple ID của mình cho kẻ xấu.
Dĩ nhiên, người dùng tinh ý sẽ nhanh chóng phát hiện ra đây là một lỗ hổng trong mail. Ví dụ, chế độ dự đoán từ trên bàn phím sẽ không bị tắt như thông thường. Bạn cũng có thể tắt cửa sổ hỏi mật khẩu giả mạo này bằng cách nhấn nút Home (bạn không thể dùng nút Home để tắt yêu cầu nhập mật khẩu hợp lệ của iOS). Song, do phần đông người dùng iPhone đều là những người không thực sự "sành" kỹ thuật, khả năng để mất tài khoản iCloud trong vòng giây phút là rất lớn.
Cửa sổ hỏi mật khẩu trong màn hình trên là cửa sổ giả mạo, tạo bằng mã HTML nhúng trong mail
Để phòng tránh lỗ hổng này, bạn chỉ cần tinh ý để ý tới các dấu hiệu nói trên. Đồng thời, gần như chắc chắn bạn sẽ không bao giờ bị hỏi mật khẩu iCloud khi đang lướt web, do đó nếu gặp tình huống này hãy tỉnh táo bỏ qua. Bật xác thực 2 yếu tố cho tài khoản iCloud cũng sẽ giúp bạn tránh bị mất tài khoản.
Jansoucek khẳng định đã thông báo với Apple về lỗ hổng này từ tận tháng 1, song cho tới giờ công ty của Tim Cook vẫn chưa có bất kỳ động thái nào để vá lỗi. Lỗ hổng này mới chỉ được thực hiện dưới dạng trình bày ý tưởng, nhưng sẽ là không có gì khó hiểu nếu như hacker bắt đầu tìm cách chèn các form giả mạo vào mail độc. Apple hiện chưa lên tiếng bình luận về vụ việc.