Xem bản thử nghiệm

Thanh niên 18 tuổi phát hiện lỗ hổng bảo mật nghiêm trọng trên máy Mac nhưng không chịu tiết lộ vì không được Apple trả tiền thưởng

Thiên Long , Theo Trí Thức Trẻ

Điều đáng nói là dù biết có tồn tại lỗ hổng bảo mật nhưng thiếu niên 18 tuổi người Đức quyết định không chia sẻ chi tiết về lỗi này trên macOS vì phát hiện trên sẽ không được Apple trả tiền thưởng.

Chỉ mới tuần trước, cậu bé 14 tuổi tại bang Florida, Mỹ đã bất ngờ trở thành người nổi tiếng và sẽ sớm được Apple tặng thưởng vì phát hiện ra lỗi bảo mật trong tính năng Group FaceTime.

Thanh niên 18 tuổi phát hiện lỗ hổng bảo mật nghiêm trọng trên máy Mac nhưng không chịu tiết lộ vì không được Apple trả tiền thưởng - Ảnh 1.

Giờ đây lại tới lượt Linus Henze, một thiếu niên người Đức, 18 tuổi khẳng định đã phát hiện ra một lỗ hổng bảo mật trên macOS. Lỗ hổng này khá nguy hiểm vì nó có thể làm lộ mật khẩu lưu trữ của máy trước các ứng dụng độc hại.

Những mật khẩu quan trọng phải kể đến như mật khẩu đăng nhập ngân hàng, Amazon, Netflix, Slack,…Mặc dù đây chỉ là lỗi trên máy Mac nhưng nếu liên kết máy Mac với tài khoản iCloud, mật khẩu đã đồng bộ hóa giữa iPhone và máy Mac cũng có thể gặp nguy hiểm.

Chỉ có điều Apple chưa thể sửa lỗ hổng này vì Linus Henze cho biết sẽ không tiết lộ lỗ hổng đó. Nguyên nhân bởi Apple không trả thưởng cho những phát hiện dạng như này. Cậu cho biết, Apple chỉ trả tiền cho các phát hiện lỗ hổng bảo mật trên iOS còn macOS thì không.

Trong quá khứ, Linus Henze đã phát hiện ra nhiều lỗi khác nhau trên iOS và macOS.

Theo chia sẻ ban đầu, Henze đã biết cách truy cập vào hệ thống keychain của máy Mac, nơi được mệnh danh là "mỏ vàng" chứa toàn bộ khóa và mật khẩu riêng tư của người dùng. Nếu không may số dữ liệu này lọt vào tay kẻ xấu, người dùng sẽ dễ dàng gặp nguy hiểm.

Henze đã thử cài cắm mã độc dưới dạng ứng dụng đội lốt vào máy Mac, qua đó giúp cậu có thể đọc được mã và mật khẩu trong hệ thống keychain mà không cần sự cho phép của nạn nhân. Thậm chí mã độc chẳng cần tới quyền quản trị để "đi dạo" trong máy Mac như chốn không người.

Thanh niên 18 tuổi phát hiện lỗ hổng bảo mật nghiêm trọng trên máy Mac nhưng không chịu tiết lộ vì không được Apple trả tiền thưởng - Ảnh 2.

Mã độc có thể xâm nhập vào máy tính của nạn nhân dưới nhiều con đường, cả phi pháp lẫn hợp pháp. Henze đặt giả thuyết, người dùng click nhầm và bị chuyển đến một trang web giả mạo, đồng thời bị cài cắm mã độc mà không hề hay biết. Từ đó tin tặc có thể lấy mã token để truy cập tài khoản iCloud của bạn, chiếm Apple ID và tải xuống các keychain từ máy chủ của Apple dễ dàng.

Phát hiện trên của Henze được công bố chỉ một tuần sau khi thiếu niên Grant Thompson, 14 tuổi lập công lớn khi giúp Apple tìm ra lỗ hổng trong tính năng Group FaceTime. Lỗi nguy hiểm này cho phép người gọi có thể nghe được âm thanh từ đầu dây bên kia ngay cả khi người được gọi chưa hề bắt máy. Apple sau đó đã lên tiếng xin lỗi người dùng và mới tung ra bản cập nhật iOS 12.1.4 để vá lỗ hổng trên.

Về phần Thompson, Apple nhiều khả năng có thể trả khoảng 25-200 ngàn USD tiền thưởng cho cậu vì đã tìm ra được lỗ hổng quan trọng này.

Video demo của Linus Henze về lỗ hổng keychain trên macOS

Tham khảo Forbes

Bình luận