iPhone lại dính lỗi nguy hiểm

iPhone lại dính lỗi nguy hiểm

Bực mình với sự chậm trễ của Apple, chuyên gia nghiên cứu bảo mật Aviv Raff hôm qua (2/10) đã quyết định công bố rộng rãi những lỗ hổng bảo mật nguy hiểm trong iPhone.

Tháng 7 vừa qua Raff đã cung cấp cho Apple đầy đủ thông tin về hai lỗ hổng bảo mật trong ứng dụng Mail và Safari của iPhone nhưng cho đến nay đã hơn hai tháng qua đi dù đã có nhiều bản nâng cấp cho iPhone được phát hành nhưng không hiểu vì sao mà nhà sản xuất iPhone vẫn không chịu cho sửa.
 
Đã hai tháng rưỡi qua đi mà vẫn không có bất kỳ một vá lỗi nào. Tôi đã nhiều lần hỏi Apple về kế hoạch phát hành bản sửa lỗi nhưng họ từ chối cung cấp. Kể từ đó đến nay iPhone đã 3 lần được nâng cấp phần mềm cơ sở nhưng không hiểu vì sao mà Apple vẫn không chịu sửa lỗi. Chính vì thế mà tôi quyết định đã đến lúc phải công bố rộng rãi chi tiết lỗi, Raff cho biết.
 
Trong một cuộc trả lời phỏng vấn báo giới, Raff cho biết anh buộc phải sử dụng biện pháp này nhằm gây áp lực buộc Apple phải nhanh chóng cho khắc phục lỗi nhằm bảo vệ người dùng.
 
Lỗi thứ nhất
 
Mail và Safari đều cắt bớt đường liên kết URL để nó phù hợp hơn với màn hình hiển thị nhỏ bé của iPhone. Lợi dụng điều này tin tặc có thể tạo ra đường liên kết giả mạo một dịch vụ hợp pháp như Facebook chẳng hạn để lừa người dùng truy cập vào những website độc hại “ ví dụ website lừa đảo trực tuyến chẳng hạn.
 
Thực tế đường liên kết URL được hiển thị trong nội dung các email khi được xem ở chế độ HTML hoàn toàn khác biệt so với được liên kết thực. Để xem đường liên kết thực người dùng cần phải chuyển con trỏ đến đường dẫn hiển thị trong nội dung email. Nhưng đáng tiếc cửa sổ pop-up bật ra cũng vẫn không đủ chỗ chứa nếu đó là một đường dẫn quá dài.
 
Raff đã minh chứng rõ ràng cách thức khai thác lỗi này bằng cách tạo ra một đường liên kết có vẻ như là URL để đăng nhập Facebook nhưng thực ra đó là đường dẫn đến một bức ảnh trên trang cá nhân của anh trên mạng xã hội ảo này.

Ảnh minh họa

 
Trong hình ảnh trên đây, đường dẫn được hiển thị trong nội dung email chỉ là https://securelogin.facebook.com/reset.php?cc=534a556abd1006&tt=1212620963. Nhưng thực tế liên kết của nó là http://securelogin.facebook.com.avivraff.com/reset.php?cc=534a556abd1006&tt=1212620963 và khi người dùng di chuyển con trỏ để xem URL thực cũng chỉ có securelogin.facebook.com...556abd1006&tt=1212620963. Và dưới đây là cách thức Safari hiển thị đường dẫn đó.

Ảnh minh họa

 
Rõ ràng tin tặc có thể lợi dụng sai sót này để tấn công lừa đảo trực tuyến người dùng iPhone bằng cách tạo ra một đường dẫn thật dài giả mạo liên kết đến một website hợp pháp nhưng đích đến là một website phishing.
 
Lỗi thứ hai
 
Aviv Raff khẳng định đây là lỗi có thể bị tin tặc lợi dụng để thả bom thư rác vào hòm thư điện tử của người dùng iPhone.

Mặc định ứng dụng Mail trên iPhone sẽ tự động tải về các hình ảnh đính kèm theo email. Theo quy luật, máy chủ có đủ khả năng để ghi nhận lại tác vụ tải về này. Điều này đồng nghĩa với việc tin tặc sẽ biết rằng bạn đã mở email mà hắn gửi ra đọc và hắn biết email của bạn là có thực. Chúng sẽ nhồi nhét vào địa chỉ email đó thêm nhiều thư rác hơn, Raff khẳng định.
 
Chuyên gia Raff khuyến cáo người dùng không nên dùng những ứng dụng mắc lỗi nói trên chừng nào Apple chưa cho khắc phục đầy đủ.

Tác giả bài viết: Quang Tùng - GiangVien.Net

Nguồn tin: Computerworld

Array
(
    [type] => 8192
    [message] => preg_replace(): The /e modifier is deprecated, use preg_replace_callback instead
    [file] => /home/pwhqfmvb/GiangVien/includes/countries.php
    [line] => 435
)