[iOS 13] Lỗ hổng cho phép truy cập vào email và mật khẩu đã lưu mà không cần xác thực

Lỗ hổng trong iOS 13

Phát hiện thêm một lỗ hổng nghiêm trọng trong hệ điều hành iOS, có thể gây rủi ro cho bảo mật của người dùng thiết bị iPhone và iPad. May mắn thay, lỗ hổng mới được phát hiện nằm trong phiên bản iOS 13 beta vẫn chưa được ra mắt, vì vậy Apple có thể vá lỗ hổng này kịp thời.

Lỗ hổng trong iOS 13 có khả năng tiết lộ dữ liệu thiết bị của người dùng

Được biết, Matthew Arron John, người sử dụng tài khoản u/AqAqGT trên Reddit, đã phát hiện ra lỗ hổng trong hệ điều hành iOS 13 có khả năng tiết lộ các mật khẩu đã lưu (saved passwords) trên thiết bị người dùng. Matthew đã chia sẻ một đoạn video ngắn về lỗi này lần đầu trên Reddit.

Như được tiết lộ, có một trục trặc nghiêm trọng tồn tại trong iOS 13 có thể cho phép kẻ tấn công có quyền truy cập vào “mật khẩu web và ứng dụng” đã lưu nhờ bỏ qua xác thực Face ID hoặc Touch ID.

iDeviceHelp là người tiếp theo bị thu hút bởi lỗ hổng này và sau đó đã mô phỏng sự cố bảo mật trong một video chi tiết hơn (được chia sẻ bên dưới).

Như được mô tả trong video, bất kỳ ai có quyền truy cập vật lý vào iPhone hoặc iPad chạy trên iOS 13 đều có thể khai thác lỗ hổng này.

Tất cả những gì kẻ tấn công cần làm là vào menu cài đặt và tiếp cận tùy chọn “Website & App Passwords” (Mật khẩu trang web & ứng dụng). Sau đó, nhấn một lần vào tùy chọn, thiết bị yêu cầu người dùng chuyển qua dấu nhắc (prompt) Face ID hoặc Touch ID. Tuy nhiên, do trục trặc trong iOS, việc chạm liên tục vào khu vực màn hình hiển thị “Website & App Passwords”và việc hủy lời nhắc có thể cho phép kẻ tấn công bỏ qua kiểm tra bảo mật.

Xem thêm: Các dạng tấn công mật khẩu phổ biến

Apple đã vá lỗ hổng

Theo các nhà nghiên cứu, lỗ hổng này chủ yếu ảnh hưởng đến phiên bản iOS 13 beta 3 dành cho nhà phát triển và bản iOS 13 public beta 2.

Nhờ báo cáo kịp thời về lỗ hổng cho Apple, gã khổng lồ công nghệ đã có thể giải quyết lỗ hổng trong phiên bản iOS beta 4 mới nhất dành cho nhà phát triển. Bản sửa lỗi cũng đã được xác nhận trên Reddit.

Bản iOS 13 public beta 3 cũng sẽ chứa bản sửa lỗi tương tự cho lỗ hổng kể trên. Người dùng iOS hoàn toàn có thể mong đợi rằng phiên bản phát hành cuối cùng của iOS 13 sẽ chứa bản sửa lỗi cho tất cả các lỗ hổng đã biết.  

LHN