Lỗ hổng nghiêm trọng khiến iOS 10 bảo mật kém
- Thứ hai - 26/09/2016 09:48
- In ra
- Đóng cửa sổ này
Người dùng iPhone và iPad sẽ sớm được nhận một bản cập nhật vá lỗi cho iOS 10 trong thời gian tới. Trước đó, một công ty bảo mật đã phát hiện lỗ hổng nghiêm trọng liên quan tới việc sao lưu dữ liệu trên iTunes của iOS 10.
Theo Macrumors, công ty Elcomsoft (Nga) thông báo họ đã phát hiện ra việc iOS 10 đang sử dụng một cơ chế xác minh mật khẩu mới khiến cho mật khẩu sao lưu dữ liệu trên iTunes bị bẻ khóa nhanh hơn bao giờ hết. Elcomsoft cho biết việc này là do Apple đã bỏ qua những "kiểm tra bảo mật cần thiết" để giúp người dùng có thể sao lưu dữ liệu lên iTunes nhanh hơn.
Cụ thể, bài thử nghiệm tấn công bằng phương pháp brute-force (tấn công bằng kiểu dò mật khẩu) của Elcomsoft cho thấy mật khẩu iTunes trên iOS 10 dễ bị bẻ khóa hơn iOS 9 tới 2500 lần khi cùng sao lưu lên một máy tính dùng chip i5 của Intel. Theo đó, công ty đã có thể xử lý 2.400 mật khẩu/giây với iOS 9 thì nay công cụ này đã có thể xử lý 6 triệu mật khẩu/giây trên iOS 10.
Các bản sao lưu dữ liệu của iPhone và iPad thông qua iTunes trên máy Mac hay PC đều được bảo vệ bằng một mật khẩu duy nhất. Lấy được mật khẩu này đồng nghĩa với việc hacker có thể truy cập vào toàn bộ dữ liệu của thiết bị. Thậm chí, hacker có thể vào được cả Keychain, nơi lưu trữ các mật khẩu và thông tin nhạy cảm của người dùng.
Per Thorsheim, một chuyên gia bảo mật giải thích nguyên nhân là do Apple đã thay đổi thuật toán bảo mật. Trước đó, từ iOS 4 đến iOS 9, Apple luôn dùng thuật toán PBKDF2 khiến mật khẩu trên các bản sao lưu dữ liệu trên iTunes phải trải qua tới 10000 vòng lặp để được xác nhận. Tuy nhiên, ở iOS 10, Apple đã chuyển sang dùng thuật toán SHA256 với chỉ 1 vòng lặp duy nhất. Điều này đã dẫn tới lỗ hổng bảo mật nghiêm trọng.
Apple đã xác nhận vấn đề và hứa sẽ sớm đưa ra bản sửa lỗi. "Chúng tôi nhận thức được khả năng mã hóa của iOS 10 đang bị ảnh hưởng khi sao lưu dữ liệu lên một máy PC hay Mac. Chúng tôi sẽ sớm giải quyết vấn đề cho người dùng trong bản cập nhật sắp tới. Ngoài ra, vấn đề này được xác định là không ảnh hưởng tới bảo mật iCloud", đại diện của Apple chia sẻ.
Nguyễn Long