Thanh niên 18 tuổi phát hiện lỗ hổng bảo mật nghiêm trọng trên máy Mac nhưng từ chối tiết lộ vì không được Apple thưởng

THIÊN LONG, Theo TRÍ THỨC TRẺ 22:00 10/02/2019

Anh chàng chia sẻ rằng đã biết cách truy cập vào hệ thống keychain của máy Mac, nơi mệnh danh là "mỏ vàng" chứa toàn bộ khóa và mật khẩu riêng tư của người dùng.

Chỉ mới tuần trước, cậu bé 14 tuổi tại bang Florida, Mỹ đã bất ngờ trở thành người nổi tiếng và sẽ sớm được Apple tặng thưởng vì phát hiện ra lỗi bảo mật trong tính năng Group FaceTime.

Thanh niên 18 tuổi phát hiện lỗ hổng bảo mật nghiêm trọng trên máy Mac nhưng từ chối tiết lộ vì không được Apple thưởng - Ảnh 1.

Giờ đây lại tới lượt Linus Henze, 18 tuổi từ Đức khẳng định đã phát hiện ra một lỗ hổng bảo mật trên macOS. Lỗ hổng này khá nguy hiểm vì nó có thể làm lộ mật khẩu lưu trữ của máy trước các ứng dụng độc hại.

Những mật khẩu quan trọng phải kể đến như mật khẩu đăng nhập ngân hàng, Amazon, Netflix, Slack,…Mặc dù đây chỉ là lỗi trên máy Mac nhưng nếu liên kết máy Mac với tài khoản iCloud, thì mật khẩu đã đồng bộ hóa giữa iPhone và máy Mac cũng có thể gặp nguy hiểm.

Chỉ có điều Apple chưa thể sửa lỗ hổng này vì Linus Henze cho biết sẽ không tiết lộ về nó. Nguyên nhân bởi Apple không trả thưởng cho những phát hiện dạng này. Cậu cho biết, Apple chỉ trả tiền cho các phát hiện lỗ hổng bảo mật trên iOS còn macOS thì không.

Trong quá khứ, Linus Henze đã phát hiện ra nhiều lỗi khác nhau trên iOS và macOS.

Theo chia sẻ ban đầu, Henze đã biết cách truy cập vào hệ thống keychain của máy Mac, nơi được mệnh danh là "mỏ vàng" chứa toàn bộ khóa và mật khẩu riêng tư của người dùng. Nếu không may số dữ liệu này lọt vào tay kẻ xấu, người dùng sẽ dễ dàng gặp nguy hiểm.

Henze đã thử cài cắm mã độc dưới dạng ứng dụng đội lốt vào máy Mac, qua đó giúp cậu có thể đọc được mã và mật khẩu trong hệ thống keychain mà không cần sự cho phép của nạn nhân. Thậm chí mã độc chẳng cần tới quyền quản trị để "đi dạo" trong máy Mac như chốn không người.

Thanh niên 18 tuổi phát hiện lỗ hổng bảo mật nghiêm trọng trên máy Mac nhưng từ chối tiết lộ vì không được Apple thưởng - Ảnh 2.

Mã độc có thể xâm nhập vào máy tính của nạn nhân dưới nhiều con đường, cả phi pháp lẫn hợp pháp. Henze đặt giả thuyết, người dùng click nhầm và bị chuyển đến một trang web giả mạo, đồng thời bị cài cắm mã độc mà không hề hay biết. Từ đó tin tặc có thể lấy mã token để truy cập tài khoản iCloud của bạn, chiếm Apple ID và tải xuống các keychain từ máy chủ của Apple dễ dàng.

Phát hiện trên của Henze được công bố chỉ một tuần sau khi thiếu niên Grant Thompson, 14 tuổi lập công lớn khi giúp Apple tìm ra lỗ hổng trong tính năng Group FaceTime. Lỗi nguy hiểm này cho phép người gọi có thể nghe được âm thanh từ đầu dây bên kia ngay cả khi người được gọi chưa hề bắt máy. Apple sau đó đã lên tiếng xin lỗi người dùng và mới tung ra bản cập nhật iOS 12.1.4 để vá lỗ hổng trên.

Về phần Thompson, Apple nhiều khả năng có thể trả khoảng 25-200 ngàn USD tiền thưởng cho cậu vì đã tìm ra được lỗ hổng quan trọng này.

* Video demo của Linus Henze về lỗ hổng keychain trên macOS:

Tham khảo Forbes

Chia sẻ

Bình luận

TIN CÙNG CHUYÊN MỤC
Xem theo ngày

Tin nổi bật kenh 14

  • Sân bay Nội Bài thắt chặt an ninh dịp thượng đỉnh Mỹ - Triều

    Theo đó, các lực lượng đảm bảo an ninh, an toàn, khai thác bay...tại Nội Bài đã bắt đầu triển khai ở cấp độ cao nhất.
  • Đọc thêm