NSA hưởng lợi từ lỗ hổng của hệ điều hành iOS?

iOS đã được vá, Mac OS X vẫn hổng

Một lỗ hổng lớn bảo mật lớn trên iOS cho các thiết bị di động của Apple, cho phép tin tặc có thể đọc email và thông tin cá nhân từ các hình thức liên lạc khác nhau vốn yêu cầu phải được mã hóa, đã bị phát hiện. Dù Apple đã cập nhật để vá lỗ hổng, song mới chỉ áp dụng cho các thiết bị di động, trong khi cả máy tính Mac cũng dính lỗi này.

Nếu kẻ tấn công có thể truy cập mạng của người sử dụng điện thoại, chẳng hạn bằng cách chia sẻ các dịch vụ không dây không có đảm bảo, nhất là mạng công cộng, thì chúng thể nhìn thấy và làm gian đoạn và phá rối người sử dụng đang dùng chung kết nối đến Gmail và Facebook. Chính phủ với quyền truy cập vào dữ liệu cung cấp dịch vụ viễn thông chính nhờ vậy mới có thể tiến hành theo dõi người dùng.

Apple không thông báo rõ lỗ hổng này có thể bị khai thác ra sao, nhưng lưu ý rằng vụ việc có liên quan đến kết nối SSL trên các thiết bị iOS. SSL hay Secure Sockets Layer là một trong những hình thức cơ bản nhất của mã hóa lưu lượng truy cập Internet, giống như bức tường ngăn không cho người khác có thể xem những gì bạn đang làm trên mạng trực tuyến.

Giáo sư mật mã Matthew Green của Đại học Johns Hopkins nhận định: Tình hình rất tồi tệ, đó là tất cả những gì tôi có thể nói. Nhận định của Green ngay lập tức đã được kiểm chứng, khi Apple phải tung ra bản cập nhật iOS 7.0.6, thay vì chờ khắc phục ở iOS 7.1 - một bản cập nhật lớn cho iOS 7 mà Apple đang thử nghiệm ở giai đoạn beta suốt vài tháng qua.

Bản vá lỗi phần mềm có số hiệu build 11b651 sẽ khả dụng trên các thiết bị từ iPhone 4, iPod touch thế hệ thứ năm, iPad 2 cho tới các thiết bị mới nhất. Apple cũng vá lỗi cho iPhone 3GS và iPod touch thế hệ thứ tư với bản nâng cấp lên iOS 6.1.6 có số hiệu build 10b500. Người dùng có thể sử dụng kết nối Wi-Fi để tải về và cài đặt bản cập nhật có kích thước khoảng từ 16 MB đến 35 MB, tùy theo từng thiết bị. Nếu không cập nhật, tin tặc có thể giả mạo các trang web để lấy các email và dữ liệu tài chính trước đó được gửi từ iDevice của người dùng. Jailbreak iOS 7.0.6 (quá trình xử lý can thiệp vào hệ thống để phá bỏ các rào cản mặc định, giúp ta có toàn quyền truy cập iPhone từ root - gốc, và kích hoạt các phiên bản iPhone không chính thống) cũng đã nhanh chóng xuất hiện trên mạng, còn phiên bản 7.0.4 đã bị khóa lại.

Theo Dmitri Alperovich - Giám đốc công nghệ hãng bảo mật CrowdStrike Inc. và Adam Langley - kỹ sư cao cấp của Google, lỗ hổng này không chỉ xuất hiện trên các thiết bị di động mà còn ở cả máy Mac OS X 10.9.1. Tuy nhiên, chưa có bản vá như đối với thiết bị di động mà sẽ được đưa vào phiên bản 10.9.2 đang được các nhà phát triển thử nghiệm. Apple vẫn chưa đưa ra lời bình luận về thông tin này, song theo Reuters, các chuyên gia của hãng đã lường được điều này từ trước. Nếu thực vậy, đây sẽ là một thông tin có thể tác động không nhỏ đến uy tín của công ty có giá trị thương hiệu cao nhất năm này. Trước đó, đã xuất hiện tài liệu cho thấy các cơ quan tình báo có tỷ lệ đột nhập thành công iPhone lên tới 100%.

Theo Songmoi