Phát hiện lỗ hổng bảo mật nghiêm trọng trên macOS, thanh niên 18 tuổi này không chịu tiết lộ vì Apple không trả tiền thưởng

Linus Henze, một thiếu niên 18 tuổi, người Đức mới đây khẳng định đã phát hiện ra một lỗ hổng bảo mật nghiêm trọng trên macOS có thể làm lộ mật khẩu lưu trữ của máy trước các ứng dụng độc hại. Mặc dù đây chỉ là lỗi trên máy Mac nhưng nếu máy Mac liên kết với tài khoản iCloud thì lỗi này có thể ảnh hưởng tới mật khẩu đã đồng bộ hóa giữa iPhone và máy Mac.

Điều đáng nói là Linus Henze quyết định không chia sẻ chi tiết về lỗi này trên macOS bởi Apple sẽ không trả tiền thưởng cho những phát hiện dạng này. Điều này khiến Apple chưa thể sửa lỗ hổng này.

Linus Henze quyết định không chia sẻ chi tiết về lỗi này trên macOS

Linus Henze đã từng phát hiện ra nhiều lỗi khác nhau trên iOS và macOS trong quá khứ. Và theo Linus Henze, Apple không trả tiền cho các phát hiện lỗ hổng bảo mật trên macOS.

Henze cho biết, cậu đã phát hiện ra cách truy cập vào hệ thống keychain của máy Mac, nơi chứa toàn bộ khóa và mật khẩu riêng tư của người dùng. Nếu kẻ xấu lợi dụng lỗ hổng này và chiếm được những dữ liệu quan trọng đó thì người dùng sẽ bị ảnh hưởng nghiêm trọng.

Henze cài thành công mã độc dưới dạng ứng dụng đội lốt vào máy Mac. Điều này cho phép cậu có thể đọc được mã và mật khẩu trong hệ thống keychain, thậm chí “dạo quanh” trong máy Mác mà không cần sự cho phép của nạn nhân.

Linus Henze có thể đọc được mã và mật khẩu trong hệ thống keychain

Có nhiều cách, cả phi pháp lẫn hợp pháp để mã độc có thể xâm nhập vào máy tính của nạn nhân. Theo giả thuyết của Henze, tin tặc có thể đánh lừa để người dùng truy cập vào một trang web giả mạo, bị cài cắm mã độc rồi ăn trộm mã token. Từ đó, tin tặc có thể dễ dàng truy cập tài khoản iCloud của họ, chiếm Apple ID và tải xuống các keychain từ máy chủ của Apple.

Henze công bố phát hiện của mình chỉ một tuần sau khi thiếu niên Grant Thompson, 14 tuổi tìm ra lỗi bảo mật trong tính năng Group FaceTime và có thể được Apple thưởng khoảng 25-200 ngàn USD.

Mời các bạn theo dõi video demo của Linus Henze về lỗ hổng keychain trên macOS.

 

Thứ Sáu, 15/02/2019 08:03
52 👨 254