Lỗi bảo mật zero-day có thể bị khai thác để đánh cắp toàn bộ mật khẩu lưu trong Keychain của hệ điều hành macOS. 

Lỗi bảo mật zero-day có thể bị khai thác để đánh cắp toàn bộ mật khẩu lưu trong Keychain của hệ điều hành macOS. 

lo-hong-khien-may-tinh-mac-lo-het-mat-khu

Mật khẩu lưu trên Keychain của macOS có thể bị đánh cắp qua một ứng dụng. Ảnh minh họa.

Để thực hiện, kẻ tấn công sẽ cài đặt một ứng dụng có tên "keychainStealer" thông qua máy chủ từ xa. Sau đó hacker chỉ cần kích hoạt là phần mềm trên sẽ âm thầm đánh cắp toàn bộ mật khẩu được lưu trữ trong Keychain rồi tải lên máy chủ đích. Quá trình trên không đòi hỏi tương thác nào ngoài việc cài ứng dụng ban đầu. Mật khẩu đọc được ở dạng văn bản thuần, không bị mã hóa.

Thử nghiệm được Wardle thực hiện trên hệ điều hành macOS High Sierra mới nhất mà Apple mới phát hành chính thức sáng nay, 26/9. "Tôi đã báo cáo lỗi này cho hãng từ đầu tháng nhưng bản vá đã không được đưa ra. Việc hack có thể thực hiện với các bản macOS cũ hơn".

Lỗ hổng khiến máy tính Mac lộ hết mật khẩu

Phản hồi vấn đề, đại diện Apple nói rằng macOS được thiết kế để bảo mật theo mặc định. Tính năng Gatekeeper sẽ cảnh báo người dùng khi cài đặt ứng dụng chưa đăng ký. "Chúng tôi khuyến khích người dùng tải phần mềm từ các nguồn tin cậy như Mac App Store và chú ý tới các cảnh báo trên macOS".

Ứng dụng keychainStealer trong thử nghiệm chưa đăng ký chữ ký số nhưng theo Wardle việc này khá đơn giản. Để đăng ký ứng dụng với Apple thì lập trình viên chỉ cần tham gia Chương trình Nhà phát triển Apple với phí 99 USD (khoảng 2,3 triệu đồng) mỗi năm.

"Là người đam mê Mac, tôi liên tục thất vọng với vấn đề bảo mật của macOS", anh nói. "Cách tiếp thị của Apple quá tốt khiến người dùng máy tính của hãng nghĩ rằng họ luôn được an toàn, từ đó quá tự tin, nên nếu bị ảnh hưởng sẽ gây ra hậu quả nặng nề hơn".

Theo Bảo Anh (VnExpress.net)