Vì sao Apple không thưởng nhiều hơn cho người tìm lỗi iOS?
Apple thừa tiền để thưởng cho những người phát hiện lỗi, nhưng đó không phải chiến lược khôn ngoan để đối phó với thị trường chợ đen.
Apple là gã nhà giàu công nghệ. Vào quý I/2016, Apple nắm giữ 55 tỷ USD tiền mặt cùng với 178 tỷ USD tiền dự phòng khác. Khi mọi mảng kinh doanh đều đang trên đỉnh, ngay cả việc xài cho hết số tiền đó cũng gây đau đầu, bằng chứng là Tim Cook có những mục đầu tư khá khó hiểu gần đây, như công nghệ theo dõi nhịp tim hay bản quyền âm nhạc của Frank Ocean.
Vì thế, thật đáng ngạc nhiên khi họ đang chi rất khiêm tốn cho vấn đề bảo mật. Chương trình tặng thưởng cho người phát hiện lỗi gần đây chỉ trị giá 200.000 USD, con số quá bé nhỏ so với những con số hàng triệu USD mà các gã hacker chợ đen sẽ trả để tìm ra lỗi tương tự.
Điều này dấy lên nhiều lo ngại, gần đây một lỗi iOS bỗng nhiên xuất hiện. Phần mềm theo dõi từ công ty Israel NSOGroup được phát hiện đang theo dõi nhà hoạt động xã hội Ahmed Mansoor ở UAE.
Phần mềm này cho phép jailbreak iPhone từ xa, điều chưa từng có tiền lệ. Apple nhanh chóng vá lỗi này trong bản nâng cấp iOS gần nhất, nhưng người ta ngờ rằng iOS không còn “bất khả xâm phạm”. Một lỗi tương tự gần đây đã được rao bán với giá gần 1 triệu USD trên chợ đen.
Nhiều người lập tức chỉ trích: Vì sao Apple không trả nhiều hơn cho người tìm ra lỗi, họ có quá nhiều tiền.
Nhiều người dùng tỏ ra tức tối vì Apple quá “keo kiệt” với chiến dịch tiền thưởng.
Nhìn kỹ hơn, đây không phải điều gì mới. Đã là một truyền thống nhiều thế kỷ rằng các công ty chỉ chi rất khiêm tốn cho các khoản này. Với Android, Google chỉ trả khoảng 50.000 USD, Chrome là 100.000 USD với các lỗi trên Chromebook. Microsoft cũng chỉ 125.000 USD là tối đa.
Khó lòng xác định những gã buôn ở chợ đen sẽ trả bao nhiêu cho các lỗi tương tự, nhưng chắc chắn sẽ cao hơn, theo nhiều lời đồng tình từ nhân viên các tập đoàn tiền thưởng này.
Video đang HOT
Vấn đề ở đây, tiền thưởng nên được dùng để khuyến khích hành động đúng đắn, chứ không phải để so kè với chợ đen.
Chiến lược bạo liệt dùng tiền để đè chết các công ty chợ đen hầu như không khả thi. Một mặt, Apple có hàng núi tiền để đua tay đôi với bất kỳ gã chợ đen nào, nhưng vấn đề lớn hơn tiền rất nhiều.
Apple không thiếu tiền, nhưng đó không phải giải pháp. Ảnh: WSJ.
Các công ty như NSOGroup muốn tìm một cách để xâm nhập iPhone – một là đủ. Vì thế, họ sẽ trả hàng triệu USD để các hacker giữ im lặng, khiến Apple không nhận ra lỗi đó.
“Giá cho lỗi không phải chỉ để trả cho lỗi đó”, CEO Katie Moussouris từ Luta Security, một trong những tên tuổi lớn nhất ngành tiền thưởng cho biết, “họ đang trả cho quyền được độc quyền cũng như khai thác dài hạn các lỗi”.
Việc của Apple khó khăn hơn nhiều. Họ phải sửa những lỗi được báo cáo trong vòng 1 tuần, và đôi khi không thể sửa hết tất cả các lỗi. Trong khi các công ty chỉ cần trả 1 lần để “sở hữu” lỗi suốt 1 năm, Apple phải trả tiền liên tục mỗi khi có lỗi xuất hiện.
Khi một lỗ hổng được vá, NSOGroup và nhiều tên tuổi khác sẽ phải tìm ra cách khác để xâm nhập iOS, và mỗi bản vá trên thực tế sẽ càng tạo ra lỗ hổng tiềm năng. Sự cố Stagefright năm ngoái của Android đã tạo đà cho một loạt các lỗi khác, cả trong việc tấn công bản cũ hoặc vượt mặt bản vá.
Bản iOS vừa qua đã là bản vá lỗi thứ 7 Apple tung ra trong năm nay, với mỗi bản sửa hàng tá bug, nhiều trong số chúng đã tồn tại qua nhiều bản vá khác nhau.
Điều này không hàm ý rằng người dùng không an toàn, nó chỉ cho thấy bạn không thể tìm đến sự hoàn hảo bằng cách phóng tiền thưởng. Giải pháp lâu dài duy nhất là thành lập đội ngũ an ninh mạng với nhiệm vụ ngồi dò lỗi. Nhưng không đội ngũ nào đủ sức tìm ra tất cả các lỗi, do vậy, chương trình tiền thưởng là giải pháp bổ sung tốt nhất, nhưng về bản chất, nó chỉ dừng lại ở mức giải pháp bổ sung.
Nếu Apple hào phóng tiền trả thưởng, điều này có thể gây ảnh hưởng đến chính đội ngũ của họ. Viết và tung ra bản vá là công việc phức tạp, mỗi bước đi đều cần sự tinh tế cũng như sáng tạo như việc tìm lỗi.
Do đó, nếu giá tìm ra lỗi cao hơn quá nhiều so với giá sửa lỗi, đội ngũ của họ có thể sẽ “chuyển việc”, chọn công việc nhẹ nhàng hơn.
“Nếu Apple và các công ty khác cố nâng giá các lỗi, họ có thể mất đi đội ngũ cần thiết để vá các lỗi ấy”, Mousssouris nói.
Apple không giữ tiền, cái họ đang giữ là đội ngũ an ninh của mình. Ảnh: Pexel.
Đó là nguyên nhân cho sự đối lập của thị trường bất hợp pháp – nhưng hào phóng của chợ đen và thị trường hợp pháp – nhưng eo hẹp trong mảng báo lỗi. Các nhà nghiên cứu làm việc cho Apple sẽ được trả tương đương với việc bán lỗi chợ đen. Nhưng bản thân các kỹ sư sẽ không đi bán lỗi, đơn giản vì niềm tin phần mềm của họ là hoàn hảo, hoặc họ có những vấn đề khác mà tiền không giải quyết được.
Người dùng chỉ có thể hy vọng những lỗi nghiêm trọng sẽ không bị những kẻ xấu nắm giữ. Các vụ việc vừa qua là minh chứng cho thấy những gì cần đánh đổi để giữ sự an toàn của hệ thống. Hãy hy vọng những kỹ sư của Apple xem trọng người dùng và những hệ quả do lỗi cao hơn tiền bạc thường tình.
Lê Phát
Theo Zing
Công cụ jailbreak iOS từ Pangu chứa mã độc lừa tiền
Phần mềm jailbreak iOS 9.3 từ Pangu bị nhiều người dùng tố chứa mã độc đánh cắp mật khẩu ngân hàng người dùng.
Trên mạng xã hội Reddit, người dùng tên MacOda cho biết tài khoản Paypal của mình bị ai đó ở Bắc Kinh xâm nhập và chuyển 50 USD về email novitskvassgs@hotmail.com.
Sự việc diễn ra chỉ một giờ sau khi MacOda jailbreak iPhone của mình bằng công cụ PP của Pangu. Ngay khi phát hiện sự lạ, MacOda đã liên lạc với Paypal để hoàn lại giao dịch.
Công cụ jailbreak của Pangu có thể chứa key logger ghi lại mật khẩu người dùng. Ảnh: 9to5Mac.
Sau câu chuyện trên, nhiều người dùng Reddit cũng lên tiếng cho biết mình gặp phải tình trạng tương tự. Một người dùng tên Kolokythas bị đăng nhập tài khoản Paypal từ Bắc Kinh. Tài khoản Facebook của hai người dùng tên tsmith1223 và DouraHenrique bị xâm nhập từ Ấn Độ và Đài Loan. Nhiều khả năng kẻ gian đã sử dụng proxy hoặc VPN khi truy cập các tài khoản của nạn nhân.
Chưa hết, tài khoản Gonzales8 cho biết sau khi tải phần mềm jailbreak về máy, anh dùng chương trình quét virus và phát hiện ra rằng trong folder của PP có chứa một mẫu virus thuộc chủng "infostealer" (đánh cắp thông tin).
Cách đây ít ngày, nhóm hacker Pangu đã tung ra công cụ jailbreak cho iOS 9.3. Phiên bản tiếng Trung yêu cầu người dùng bấm trust (tin cậy) vào một chứng chỉ số không xác định, trong khi phiên bản tiếng Anh bắt người dùng đăng nhập tài khoản Apple ID. Đây đều là những yêu cầu "mờ ám" và có nguy cơ đánh cắp thông tin cao.
Trong khi chưa có công ty hay chuyên gia bảo mật độc lập nào lên tiếng về mã độc trong file cài đặt của Pangu, người dùng tạm thời không jailbreak máy để tránh rủi ro.
Duy Nguyễn
Theo Zing
Đã có bản jailbreak iOS 9.3.3 cho iPhone và iPad Nhóm hacker Pangu tiếp tục tung ra bản jailbreak cho iPhone dùng iOS 9.2 đến 9.3.3 sau một thời gian dài để các fan táo chờ đợi. Trên website chính thức Pangu.io, nhóm hacker từ Trung Quốc thông báo sắp có bản jailbreak cho iOS 9.2 - 9.3.3. Phiên bản tiếng Anh vẫn còn để dòng chữ "coming soon", nhưng khi chuyển sang...