Lời xin lỗi của Apple được đưa ra sau khi bị một nhà nghiên cứu bảo mật tố phủ nhận công lao khi làm lơ 3 lỗ hổng zero-day nguy hiểm tồn tại trên iOS được anh phát hiện và thông báo cho công ty vào tháng 4.

Trong một bài đăng vào tuần trước, nhà nghiên cứu bảo mật Denis Tokarev đã tiết lộ 3 lỗ hổng zero-day tồn tại trên hệ điều hành iOS, ảnh hưởng đến cả bản cập nhật iOS 15 ra mắt mới đây.

Động thái này được Denis Tokarev đưa ra sau khi Apple phớt lờ những cảnh báo mà anh đã thông báo cho công ty. Tokarev cho biết, anh đã gửi thông tin về 4 lỗ hổng bảo mật cho chương trình Apple Security Bounty vào ngày 29/04.

Hệ điều hành iOS, bao gồm cả iOS 15 đang tồn tại 3 lỗ hổng zero-day nguy hiểm

Apple đã giải quyết 1 trong 4 lỗ hổng thông qua bản cập nhật iOS 14.7 được tung ra vào tháng 6, nhưng không hề đề cập đến nó trong ghi chú bảo mật. Với ba lỗ hổng còn lại, Apple chưa đưa ra biện pháp khắc phục cũng như chưa có bất kỳ lời cảm ơn nào dành cho Tokarev, người đã phát hiện ra các lỗ hổng và thông báo đến công ty.

Sau lời tố phủ nhận công lao và công khai luôn 3 lỗ hổng zero-day tồn tại trên iOS của Tokarev, Apple mới liên hệ với anh để gửi lời xin lỗi, đồng thời cho biết công ty vẫn đang điều tra các vấn đề.

Chia sẻ với Motherboard hôm 28/9, Tokarev cho biết Apple đã liên hệ với anh sau khi bài đăng vào tuần trước được dư luận quan tâm. Trong email gửi đến Tokarev, Apple lên tiếng xin lỗi vì sự chậm trễ trong liên hệ và cho biết rằng họ "vẫn đang điều tra" các vấn đề.

Apple lên tiếng xin lỗi Tokarev vì sự chậm trễ trong liên hệ, đồng thời gửi lời cảm ơn anh và cho biết rằng họ "vẫn đang điều tra" các vấn đề

"Chúng tôi đã thấy bài đăng trên blog của bạn liên quan đến vấn đề bảo mật cũng như các báo cáo khác của bạn. Chúng tôi xin lỗi vì chậm trễ trong việc phản hồi bạn", Apple viết trong email gửi đến Tokarev. "Chúng tôi muốn cho bạn biết rằng chúng tôi vẫn đang điều tra những vấn đề này và tìm hướng giải quyết chúng để bảo vệ khách hàng. Một lần nữa, cảm ơn bạn đã dành thời gian thông báo cho chúng tôi những vấn đề này, chúng tôi đánh giá cao sự hỗ trợ của bạn. Vui lòng cho chúng tôi biết nếu bạn có bất kỳ thắc mắc nào".

Thông tin chi tiết về tất cả các lỗ hổng zero-day đã được Tokarev đăng tải công khai, điều này có thể khiến Apple vá chúng nhanh hơn trong thời gian tới.

Những lỗ hổng zero-day trên iOS có thể được sử dụng để khai thác Apple ID, tên thật, thông tin Wi-Fi,…

Trong 3 lỗ hổng được Tokarev phát hiện, có 1 lỗ hổng cho phép bất kỳ ứng dụng nào cũng có thể truy cập vào Apple ID cùng với tên đầy đủ của người dùng được liên kết, mà không cần sự cho phép của họ. Lỗ hổng này cũng có thể truy cập vào danh sách liên hệ từ SMS, Mail, iMessage và những ứng dụng nhắn tin của bên thứ ba. Nó cũng có thể tiếp cận siêu dữ liệu về cách người dùng tương tác với các liên hệ đó, bao gồm những thông tin như thời gian, URL, văn bản. Nhà nghiên cứu cho rằng iOS 15 có thể đã khắc phục một phần lỗ hổng này.

Một lỗ hổng khác cho phép bất kỳ ứng dụng đã cài đặt nào xác định xem liệu có ứng dụng khác cũng đã được cài đặt trên thiết bị hay không, bằng cách sử dụng ID gói của ứng dụng đó. Cuối cùng, lỗ hổng thứ 3 giúp các ứng dụng có khả năng truy cập vào thông tin Wi-Fi trái phép.

Theo Huỳnh Duy (Trí Thức Trẻ)