Home » Viễn Thông & Công Nghệ » Xuất hiện lỗ hổng bảo mật mới trên thiết bị của Apple-05-2013

Xuất hiện lỗ hổng bảo mật mới trên thiết bị của Apple-05-2013

Mặc dù Apple gần đây đã tăng cường hệ thống xác thực của nó trong một nỗ lực để ngăn chặn tin tặc, nhưng một báo cáo mới cho thấy các biện pháp an ninh còn thiếu trong một khu vực rộng lớn.
Trở lại tháng ba Fortune 500 đã công bố một “hai yếu tố xác thực” phương pháp đăng nhập tùy chọn cho Apple ID của nó. Đó là một công cụ bảo mật cơ bản đã được sử dụng bởi Google  Facebook (FB) và Dropbox mà đòi hỏi cả một mật khẩu và một phần dữ liệu, chẳng hạn như là một chuỗi các con số được gửi qua tin nhắn văn bản. Twitter cũng công bố một hệ thống như vậy sau một loạt các hack nổi bật của các tài khoản Twitter.

Nhưng công ty phần mềm bảo mật ElcomSoft giải thích trong một bài đăng blog hôm thứ Năm rằng các biện pháp an ninh mới của Apple bảo vệ người dùng chỉ trong một vài tình huống: ứng dụng và mua nhạc, quản lý tài khoản Apple ID hoặc nhận hỗ trợ khách hàng liên quan đến Apple ID. Nó không làm gì để bảo vệ thông tin quan trọng khác, như hình ảnh và các tập tin khác được lưu trữ trên dịch vụ iCloud của nó.
Một hacker người quản lý để tìm ra một người sử dụng Apple ID và mật khẩu có thể đăng nhập vào tài khoản iCloud của người dùng, và tải về tất cả các thông tin nhạy cảm được lưu trữ ở đó – ngay cả khi người sử dụng có hệ thống hai yếu tố kích hoạt. ElcomSoft cáo buộc Apple làm “một công việc nửa vời,” lập luận bảo vệ hai yếu tố cần được thực hiện trên iCloud sao lưu dữ liệu là tốt.

 

nỗi lo bảo mật của Apple

ElcomSoft đặt ra làm thế nào hacker có thể tải dữ liệu bằng cách sử dụng một tài khoản Apple ID bị xâm nhập để đăng nhập và khôi phục lại các thiết lập của thiết bị thông qua một sao lưu iCloud. Hoặc kẻ tấn công cũng có thể sử dụng một chương trình đơn giản để tải về dữ liệu iCloud của người dùng vào một máy tính.
Câu chuyện liên quan đến: Forensics cho các công ty bị đốt cháy của tin tặc. Apple không gửi email cảnh báo người dùng khi một thiết bị mới được phục hồi bằng cách sử dụng sao lưu iCloud, nhưng ElcomSoft đã không nhận được thông báo sau khi sử dụng một chương trình để tải về dữ liệu.
Cách tiếp cận của Apple trong việc thực hiện ủy quyền hai yếu tố không giống như một sản phẩm hoàn chỉnh . ElcomSoft đã viết trong bài đăng blog của mình. “Nó chỉ là không an toàn như người ta kỳ vọng giải pháp này được.”
Để công bằng cho Apple, công ty không bao giờ cho biết hệ thống hai yếu tố của nó sẽ bảo vệ những iCloud.

ElcomSoft đã viết trong bài viết trên blog của mình rằng hệ thống “làm mọi thứ mà nó tuyên bố được thực hiện.” Nhưng như các công ty phần mềm chỉ ra, hệ thống của Apple chỉ đơn giản là không phải là mạnh mẽ như nó có thể. Và người sử dụng có thể giả định rằng việc thực hiện xác thực hai yếu tố có chúng bao phủ trên diện rộng.
“Như thường lệ, Apple từ chối bình luận về bất cứ điều gì liên quan đến an ninh, vì vậy chúng tôi chỉ có thể đoán hay không bảo vệ hai bước sẽ được mở rộng để bao gồm các thông tin được lưu trữ trong iCloud,” ElcomSoft đã viết trong bài của nó.
Trong khi các vấn đề iCloud là cho đến nay vấn đề lớn nhất ElcomSoft nâng lên, các công ty cũng được liệt kê mối quan tâm khác.
Ví dụ, khi người dùng cho phép xác thực hai yếu tố, mã xác nhận được gửi như một “FindMyPhone” tin nhắn – đó là một thông báo xuất hiện trên màn hình của thiết bị ngay cả khi nó bị khóa. Đó là gần như chắc chắn vì máy nghe nhạc iPod và iPad không thể nhận tin nhắn văn bản. Nhưng đó là một vấn đề nếu một thiết bị của Apple bị mất hoặc bị đánh cắp và ai cũng có thể dễ dàng nhìn thấy các mã xác minh.

 

Share Button
Content Protection by DMCA.com

Leave a Reply

Your email address will not be published. Required fields are marked *