23 Nhà nghiên cứu ẩn danh tuyên bố phát hiện 4 lỗ hổng bảo mật trên hệ điều hành iOS mới nhất

Nhà nghiên cứu bảo mật ẩn danh sử dụng nickname “Illionofchaos” vừa đăng một báo cáo trên blog công nghệ thông tin Habr của Nga, mô tả 4 lỗ hổng chưa được biết đến trước đây trong hệ điều hành iOS phiên bản mới nhất của Apple.

Trong bài đăng của mình, Illionofchaos tuyên bố đã phát hiện 4 lỗ hổng trong iOS, cũng như trao đổi giữa mình và đại diện chương trình “săn lỗi bảo mật” của Apple. Theo Illionofchaos, 3 lỗ hổng trong số đó còn tồn tại và 1 lỗ hổng đã được khắc phục.

Ảnh minh họa

Apple đã bắt đầu chương trình “săn lỗi bảo mật”, thưởng tiền cho những ai phát hiện lỗi bảo mật trong các hệ thống của họ, từ vài năm trước. Mục đích của chương trình là khuyến khích các cá nhân không phải nhân viên Apple tham gia kiểm tra các sản phẩm và hệ điều hành của Apple và xác định các lỗ hổng. Các nhà nghiên cứu bảo mật xác định được các lỗ hổng sẽ được thưởng tiền. Năm 2019, Apple đãcải thiệnchương trình này và tăng tiền thưởng nhằm hấp dẫn các nhà nghiên cứu hơn.
Thật không may, chương trình đã nhận được nhiều khiếu nại từ các nhà nghiên cứu bảo mật, cho rằng nhóm phụ trách chương trình của Apple rất khó liên hệ. Trong vụ việc mới, Illionofchaos cho rằng Apple đang đặt người dùng vào tình thế rủi ro khi không thực hiện các biện pháp sửa lỗi cho phiên bản hệ điều hành mới.
Theo Illusionofchaos,lỗ hổng đầu tiên mà anh tìm thấy cho phép các ứng dụng do người dùng cài đặt truy cập vào dữ liệu iOS mà không cần được cấp quyền trước. Illusionofchaos cho biết thêm, sau khi gửi cho Apple một báo cáo về những phát hiện của mình, anh đã nhận được tin nhắn cho biết công ty sẽ xem xét vấn đề. Vấn đề cuối cùng đã được giải quyết, nhưng anh không được chương trình săn lỗi của Apple ghi nhận và thưởng tiền cho phát hiện của mình.
Theo bài đăng blog, Illusionofchaos cũng đã báo cáo ba lỗ hổng nổi bật khác cho Apple. Một lỗ hổng làm lộ email, tên và các thông tin khác của Apple ID. Lỗ hổng thứ hai tiết lộ thông tin Wi-Fi. Và lỗ hổng thứ ba cho phép các bên thứ ba xem thông tin về các ứng dụng được cài đặt trên thiết bị.
Illusionofchaos nóiđã thông báo cho Apple về cả ba lỗ hổng và nhận được phản hồi ban đầu, nhưng kể từ đó, mới chỉ nhận được tin nhắn cho biết Apple đang điều tra vấn đề. Sau khi đe dọa công khai các lỗ hổng bảo mật, và vẫn không nhận được phản hồi, Illusionofchaos đã đăng các phát hiện của mình lên blog Habr.
Trong khi đó, Apple vẫn chưa công khai trả lời các tuyên bố của Illusionofchaos.
Nguồn:

https://techxplore.com/news/2021-09-problems-ios-vulnerabilities-apple-response.html
https://techxplore.com/news/2021-05-apple-reveals-ios-zero-day-vulnerabilities.html