Giá cổ phiếu quá cao khiến Apple ‘lấp liếm’ về lỗ hổng bảo mật của iPhone?
Apple vừa phản ứng về phát hiện lỗ hổng bảo mật lớn trên iPhone của Google. Thế nhưng hãng đã tỏ ra đuối lý trong việc xóa những ‘ấn tượng xấu’ đó và tạo ra thêm những hoài nghi mới nếu đọc kỹ tuyên bố của họ.
Đầu tiên, hãy nói về những gì Apple đã xác nhận. Khi Google lần đầu công bố thông tin chi tiết về các lỗ hổng iOS đã bị khai thác, rõ ràng họ không hề nói cụ thể vì sao chúng bị khai thác hay nhắm vào ai.
Sau đó, TechCrunch tìm hiểu và phát hiện ra các hoạt động khai thác lỗ hổng này nằm trong một phần của cuộc tấn công quy mô do “chính phủ” tài trợ nhắm vào cộng đồng người Duy Ngô Nhĩ thiểu số ở khu tự trị Tân Cương (Trung Quốc). Mới hôm qua, Reuters và CNN cũng đã đưa tin Trung Quốc đang cố gắng hack mạng viễn thông để theo dõi người Duy Ngô Nhĩ trên khắp châu Á, vì vậy có nhiều bối cảnh lờ mờ liên quan đến nguồn gốc và mục đích khai thác iOS tiềm năng như Google phát hiện.
Trong tuyên bố của mình, Apple đã xác nhận các lỗ hổng bị khai thác trên iOS thực sự nhắm vào cộng đồng người Duy Ngô Nhĩ và cho rằng lỗ hổng này ít ảnh hưởng do chỉ bị khai thác trên hơn một chục trang web tập trung các nội dung vào cộng đồng người thiểu số này. Nói cách khác, Apple đã tiết lộ và xác nhận việc khai thác lỗ hổng nhắm vào một cộng đồng thiểu số, điều mà Google không hề làm.
Thế nhưng tuyên bố của Apple lại tập trung chỉ trích các thất bại về nhận thức của Google hay các thiếu sót của họ trong báo cáo, thay vì chỉ trích sự đàn áp nhắm vào nhóm tôn giáo thiểu số ở Trung Quốc – thị trường lớn nhất của Apple và cũng là tâm điểm của cuộc chiến thương mại Mỹ – Trung đang diễn ra.
Lợi nhuận đã khiến Apple tìm mọi cách lấp liếm về lỗ hổng bảo mật của iOS
Video đang HOT
Apple cho rằng, “bài viết của Google được phát hành sáu tháng sau khi các bản vá iOS đã được tung ra, tạo ra ấn tượng sai lầm về lỗ hổng bảo mật iOS”. Trong khi Google viết, “tất cả những gì người dùng có thể làm là nhận thức được thực tế rằng việc khai thác hàng loạt lỗ hổng vẫn tiếp diễn đối với các thiết bị của mình và cần đưa ra cách ứng xử phù hợp, bởi vì cuộc sống hiện đại khó có thể thiếu chúng”.
Dù Apple có thể sẽ chi trả 1 hay 2 và thậm chí là 20 triệu USD cho các phát hiện về lỗ hổng này, nhưng chúng ta sẽ thấy mức giá đó quá thấp để đánh đổi lấy sự an toàn và riêng tư của người dùng nếu bị kẻ xấu giám sát theo thời gian thực. Apple sử dụng mốc thời gian của Google đưa ra để né tránh vấn đề, trong lúc Google đang nhấn mạnh về nhận thức bảo mật cũng như các rủi ro và tổn thương từ chúng. Thay vì quan ngại về cuộc tấn công nhắm vào cộng đồng người thiểu số ở Tân Cương đang dùng iPhone của họ, Apple lại phớt lờ nó và chĩa mũi tên vào Google.
Apple viết, “tất cả bằng chứng đã chỉ ra rằng các cuộc tấn công từ các trang web này chỉ diễn ra trong một thời gian ngắn, khoảng vài tháng chứ không phải vài năm như Google gợi ý”. Trong khi Google cho biết, “TAG đã có thể thu thập 5 hình thức khai thác iPhone riêng biệt, hoàn chỉnh và độc lập, bao gồm hầu hết mọi phiên bản từ iOS 10 đến iOS 12. Điều này cho thấy một nhóm nào đó đã nỗ lực bền bỉ để hack người dùng iPhone ở một số cộng đồng nhất định trong thời gian ít nhất hai năm. Các phân tích ban đầu cho thấy ít nhất một trong số các hình thức khai thác này vẫn chưa được vá tại thời điểm phát hiện. Chúng tôi đã báo cáo vấn đề này với Apple với thời hạn 7 ngày kể từ 1.2.2019 và sau đó Apple đã vá lỗ hổng này qua bản vá iOS 12.1.4 vào ngày 7.2. Chúng tôi cũng chia sẻ chi tiết đầy đủ với Apple về các lỗ hổng này”.
Rõ ràng là Google không hề có ý cáo buộc các cuộc tấn công web đã diễn ra trong suốt hai năm, họ chỉ nói rằng các bằng chứng cho thấy có một nhóm đang nỗ lực bền bỉ tìm cách hack iOS trong hai năm qua, chứ không phải nói rằng iPhone bị xâm phạm trong suốt thời gian đó. Ngoài ra họ cũng cho biết đã báo cáo các lỗ hổng này để Apple khắc phục, rõ ràng là Apple đã không đọc kỹ đoạn này và vội vàng quay lại suy đoán rồi cáo buộc Google.
Google cho biết, “không hề có sự phân biệt mục tiêu, chỉ cần truy cập vào các trang web này là đủ để máy chủ của nó khai thác và tấn công thiết bị của bạn, nếu thành công chúng sẽ cài đặt các bộ theo dõi (vào thiết bị chạy iOS). Chúng tôi ước tính đã có hàng ngàn người truy cập vào các trang web này mỗi tuần”. Nhưng Apple lại trấn an người dùng một cách chung chung rất xã giao, “bất kể quy mô của cuộc tấn công như thế nào, chúng tôi vẫn rất coi trọng sự an toàn và bảo mật của tất cả người dùng”.
Rõ ràng Apple đã không hề nhận thức được quy mô thực tế của cuộc tấn công, họ còn không đếm xỉa đến ước tính có hàng ngàn khách truy cập (ngoài người Duy Ngô Nghĩ) có thể bị ảnh hưởng mỗi tuần khi vô tình nhấp vào trang web này qua thiết bị iOS. Dù cả nếu giả thuyết việc khai thác lỗ hổng mới chỉ diễn ra được vài tháng, thì khả năng hàng ngàn người dùng iOS (hoặc hơn) trở thành nạn nhân vô tình hoặc là thành viên của một nhóm người thiểu số bị đàn áp cũng đáng để Apple phải quan tâm. Đáng tiếc là Apple đã lờ họ đi, trong khi các nhà nghiên cứu bảo mật của Google đã phát hiện ra lỗ hổng và quan tâm đến vấn đề bảo mật cho tất cả người dùng một cách rất nghiêm túc.
Rõ ràng giá cổ phiếu đang lên cao đã kìm hãm Apple thừa nhận sự thật và cản trở hãng lên tiếng bảo vệ người dùng của họ, dù đó là nhóm người dùng của một tộc người thiểu số đi chăng nữa. Hoặc vì lợi ích quá lớn với thị trường Trung Quốc đã cản trở họ bảo vệ cộng đồng người dùng iPhone thuộc nhóm thiểu số Duy Ngô Nhĩ?
Theo Thanh Niên
Apple: 'Google hù dọa về lỗ hổng iPhone, làm người dùng sợ hãi'
Apple không hài lòng về việc cách Google công bố lỗ hổng trên iPhone. Họ cho rằng thời gian và quy mô cuộc tấn công đã bị thổi phồng.
Hôm 29/8, những nhà nghiên cứu bảo mật thuộc nhóm Project Zero của Google tiết lộ các trang web độc hại đang khai thác lỗ hổng zero-day trên iOS. Nhiều iPhone đã bị xâm nhập lén lút trong 2 năm qua.
Apple cho rằng Google mập mờ trong việc công bố lỗ hổng bảo mật của iPhone. Ảnh: Firstpost.
Mặc dù không bác bỏ kết quả nghiên cứu, Apple cáo buộc Google tạo ra sự sợ hãi cho người dùng iPhone. Gã khổng lồ xứ Cupetino cho rằng bài viết trên blog Project Zero đã bị lược bớt các chi tiết quan trọng, dẫn đến hiểu lầm tất cả iPhone đều bị khai thác.
"Cuộc tấn công diễn ra trong phạm vi hẹp, không phải trên diện rộng như mô tả", Apple viết trong thông cáo hôm 6/9. "Nó chỉ xuất hiện ở khoảng 10 trang web có nội dung liên quan đến người Uighur".
Apple cho rằng lỗ hổng cũng nhắm đến Windows và Android nhưng Google lại không công bố. "Tất cả bằng chứng chỉ ra rằng cuộc tấn công diễn ra trên các trang web này trong thời gian ngắn, khoảng 2 tháng, không phải 2 năm như báo cáo của Google", Apple cho biết thêm.
Táo khuyết khẳng định họ phát hiện ra lỗ hổng bảo mật từ tháng 2, trước cả Google. Sau 10 ngày, vấn đề đã được khắc phục. "Khi Google liên hệ, chúng tôi đang thực hiện việc sửa lỗi".
Apple còn bóng gió rằng liệu Google có biết Android cũng là đối tượng bị tấn công hay không. Tại sao bài viết của Project Zero lại không công bố thông tin này.
Trước phản ứng của phía Apple, nhóm Project Zero khẳng định họ đăng tải kết quả nghiên cứu bảo mật nhằm giúp nâng cao khả năng phòng ngừa tấn công. Bài viết chỉ tập trung vào các vấn đề kỹ thuật chuyên sâu của lỗ lổng.
"Chúng tôi sẽ tiếp tục hợp tác với Apple và các công ty hàng đầu khác để giúp mọi người an toàn khi trực tuyến", đại diện Project Zero nói với The Verge.
Theo Zing
Lỗ hổng nguy cơ cho cả tỷ iPhone cũng tồn tại trên Android, Windows Hai nền tảng phổ biến khác cũng không miễn nhiễm khỏi lỗ hổng có thể ảnh hưởng tới cả tỷ người dùng. Cách đây ít ngày, đội ngũ săn lỗi Project Zero của Google đã phát hiện một loạt trang web được sử dụng để tấn công iPhone. Kẻ xấu chỉ cần lừa người dùng truy cập trang web bị hack để cài...