Bảo mật Apple: Dễ dàng có được mật khẩu Apple ID chỉ bằng cách… hỏi.

38

Bạn có muốn mật khẩu Apple ID của người dùng, để truy cập vào tài khoản Apple của họ hay thử cùng một kết hợp email / mật khẩu trên các dịch vụ web khác nhau? Chỉ cần “hỏi” người dùng một cách lịch sự, họ có lẽ sẽ giao thông tin tài khoản cho bạn, vì họ đã được “huấn luyện” để làm như vậy.

Thật khó tin phải không nào? Hệ điều hành iOS vốn vẫn được biết có độ bảo mất rất cao? Làm sao có thể dùng một biện pháp đơn giản là “hỏi” là có thể có Apple ID người dùng? Mới đây, một lập trình viên di động tên Felix Krause đã đăng tải thông tin trên blog của mình về việc phát hiện lỗ hổng bảo mật trên iOS.

Theo đó, hệ điều hành iOS thường hỏi người dùng về mật khẩu iTunes phổ biến nhất là khi cài đặt bản cập nhật hệ điều hành iOS hoặc trong khi cài đặt các ứng dụng iOS. Kết quả là, người dùng đã được đào tạo để nhập mật khẩu Apple ID của họ bất cứ khi nào iOS nhắc họ làm như vậy. Tuy nhiên, các popup không chỉ hiển thị trên màn hình khóa, màn hình trang chủ mà còn bên trong các ứng dụng. Ví dụ như khi họ muốn truy cập iCloud, Game Center hay In-App-Purchases.

Các hacker có thể lợi dụng điều này và tạo ra một popup yêu cầu người dùng nhập mật mã Apple ID trông không khác gì popup gốc của Apple. Điều này dễ bị lạm dụng bởi bất kỳ ứng dụng nào. Ngay cả những người dùng am hiểu về công nghệ cũng khó mà phát hiện ra đó là lừa đảo.

Làm thế  nào để tự bảo vệ mình

Người dùng iOS có thể tự bảo vệ mình trong khi chờ đợi câu trả lời của Apple bằng cách nhấn nút Home và xem ứng dụng có thoát hay không:

– Nếu nó thoát cùng với hộp thoại thì đây chắc chắn là lừa đảo.

– Nếu hộp thoại và ứng dụng vẫn hiển thị thì đó là hộp thoại của hệ thống. Lý do là bởi vì hộp thoại hệ thống chạy trên một tiến trình riêng biệt và không phải là một phần của bất cứ ứng dụng iOS nào.

– Không nhập thông tin đăng nhập vào một popup, thay vào đó bạn nên bỏ qua nó và mở Cài đặt ứng dụng theo cách thủ công. Điều này tương tự như việc bạn không nên nhấp vào liên kết trên email, thay vào đó mở trang web đó thủ công.

– Nếu bạn nhấn nút Cancel trên một hộp thoại, ứng dụng vẫn có quyền truy cập vào nội dung của trường mật khẩu. Vậy nên hãy cẩn thận xóa văn bản trong input trước khi loại bỏ một popup.

Một cách khác để bảo vệ tài khoản của bạn đó là sử dụng xác thực 2 bước. Tuy nhiên, dù sớm hay muộn các hacker cũng có thể “bẻ khóa” bất kỳ phương thức bảo mật nào, bằng nhiều cách thức khác nhau.

Nguồn: krausefx.com

ĐỂ LẠI PHẢN HỒI

Nội dung bình luận!
Hãy nhập tên của bạn!