Máy Mac dính lỗ hổng quyền riêng tư, Apple bị chỉ trích chỉ biết nói suông

Máy Mac dính lỗ hổng quyền riêng tư, Apple bị chỉ trích chỉ biết nói suông
Theo: Tấn Minh Theo Trí Thức Trẻ
Thể loại: Thủ Thuật Chương Trình
Khi Apple công bố chương trình Security Bounty vào năm ngoái, các nhà nghiên cứu đã đổ xô tham gia một cuộc săn lùng những lỗ hổng nguy hiểm tiềm tàng, sau đó giữ bí mật về chúng để đổi lấy những khoản tiền thưởng khổng lồ.

Nhà phát triển Jeff Johnson đã nhanh chóng tiết lộ cho Apple biết về một lỗ hổng zero-day, vốn cho phép hacker truy xuất đến các tập tin riêng tư của người dùng trong trình duyệt web Safari – một vấn đề ảnh hưởng đến cả phiên bản beta của macOS Big Sur. Nhưng anh khẳng định rằng đã hơn 6 tháng trôi qua mà công ty vẫn chưa chịu vá lỗ hổng này, khiến bản thân phải từ bỏ chương trình săn tiền thưởng nói trên và chỉ trích những nỗ lực của công ty chẳng khác gì những lời nói suông.

Lỗ hổng mà Johnson phát hiện ra khá nghiêm trọng: một người dùng Safari khi bị dụ dỗ tải về một tập tin có vẻ an toàn từ một website nào đó có thể sẽ vô tình mở cánh cửa để kẻ tấn công xâm nhập máy tính và tạo ra một bản sao đã bị chỉnh sửa của Safari, và macOS xem bản sao này như ứng dụng nguyên gốc. "Bất kỳ tập tin bị giới hạn nào mà Safari truy cập được" cũng sẽ được truy cập bởi kẻ tấn công, kẻ này có thể ra lệnh tự động chuyển những tập tin lẽ ra phải được bảo vệ về máy chủ của hắn.

Theo lời giải thích của Johnson, lỗ hổng này tồn tại là bởi hệ thống bảo vệ quyền riêng tư Transparency, Consent, and Control (TCC) của Apple cho phép những ngoại lệ mà chỉ xem xét mã định danh của ứng dụng chứ không phải xuất xứ của tập tin đang chạy, và "chỉ kiểm tra hời hợt chữ ký trong mã của ứng dụng". Hậu quả là, một bản sao đã bị chỉnh sửa của Safari có thể được chạy từ một thư mục không đúng với thư mục gốc nhưng vẫn không làm kinh động đến hệ thống bảo vệ TCC, một vấn đề tồn tại từ macOS 10.14 (Mojave), 10.15 (Catalina) và 11 (Big Sur), khiến hàng triệu người tiêu dùng và các doanh nghiệp đứng trước nguy cơ bị chia sẻ bất hợp pháp những dữ liệu riêng tư lẽ ra phải được bảo mật của họ.

Máy Mac dính lỗ hổng quyền riêng tư, Apple bị chỉ trích chỉ biết nói suông - Ảnh 1.

Ngoài lỗ hổng nói trên, Johnson nhấn mạnh rằng những phản hồi rời rạc của Apple khiến anh nghi ngờ về tốc độ lẫn khả năng được trả thưởng từ chương trình Security Bounty. Đã báo cáo lỗ hổng vào tháng 12/2019, ngay trong ngày công ty mở chương trình Bounty, Johnson nhận được một lời xác nhận rằng Apple đang lên kế hoạch giải quyết vấn đề, nhưng đến cuối tháng 6/2020, chẳng có chuyện gì xảy ra cả. Quãng thời gian này đã vượt qua giới hạn 90 ngày không công khai lỗ hổng – theo lời Johnson – và đó cũng là lần thứ hai anh trải qua tình huống này. "Mọi việc trở nên hiển nhiên rằng tôi sẽ không bao giờ được trả món tiền thưởng từ Apple cho bất kỳ thứ gì tôi báo cáo cho họ, hoặc ít nhất là trong một khoảng thời gian chấp nhận được".

Những lời than phiền về tốc độ phản hồi chậm chạp của Apple đối với các bản báo cáo lỗ hổng zero-day đã xuất hiện từ trước chương trình Security Bounty, trong đó có cả những lần trao đổi qua lại giữa Apple và nhóm bảo mật Project Zero của Google. Câu chuyện của Johnson về việc Apple chậm phản hồi và quá trình thanh toán mập mờ chắc chắn không phải là câu chuyện duy nhất, nhưng đi kèm với nó là lời cảnh báo đến mọi người dùng rằng "các biện pháp bảo vệ quyền riêng tư trên macOS chủ yếu chỉ là nói suông", gây nguy hiểm cho các nhà phát triển Mac hợp pháp đồng thời tạo điều kiện cho những kẻ có mưu đồ xấu xa lách qua những kẽ hở. "Bạn có quyền biết được các hệ thống mình đang dựa vào để có sự bảo vệ thực ra không bảo vệ bạn" – Johnson nói, tiết lộ thêm rằng mặc cho những khẳng định trái ngược, "tính bảo mật ngày càng kém của Apple trên máy Mac không thể được biện minh bằng những lợi ích về quyền riêng tư và bảo mật".

Hôm qua, Apple nói với Johnson rằng công ty vẫn đang điều tra về lỗ hổng. Liệu Apple có vá lỗ hổng trong bản beta của Big Sur, vốn tập trung nhiều vào những cải tiến đối với Safari và các phiên bản trước đó của nó.

Tham khảo: VentureBeat

Cặp vợ chồng nghe lời công ty mạng rủ rê, đặt tên con siêu kỳ quặc để được xài internet miễn phí 18 năm

tinybook tinybook 4 ngày 20 giờ
Cặp vợ chồng nghe lời công ty mạng rủ rê, đặt tên con siêu kỳ quặc để được xài internet miễn phí 18 năm
Thấy bảo đặt xong cũng hối hận lắm, cơ mà nghe miễn phí Wifi 18 năm nên lại tươi rói...

Cách ẩn luôn tên Wi-Fi để khỏi có ai dùng chùa mạng internet của bạn

tinybook tinybook 6 ngày 17 giờ
Cách ẩn luôn tên Wi-Fi để khỏi có ai dùng chùa mạng internet của bạn
Xin mật khẩu Wi-Fi mà không cho thì cũng ngại, thôi thì ẩn luôn cho khỏe thân!

Bộ sưu tập ảnh nền 4K về chủ đề hoa lá cành dành cho máy tính

tinybook tinybook 6 ngày 20 giờ
Bộ sưu tập ảnh nền 4K về chủ đề hoa lá cành dành cho máy tính
Loạt bài về các bộ sưu tập ảnh nền chất lượng cao (4K) dành cho máy tính.

Dễ dàng biết ngay ứng dụng và thư mục nào bị người lạ lục lọi trên Windows 10

tinybook tinybook 6 ngày 21 giờ
Dễ dàng biết ngay ứng dụng và thư mục nào bị người lạ lục lọi trên Windows 10
Bạn muốn biết ứng dụng, thư mục nào bị truy cập “trái phép” trên Windows 10 khi mình đi vắng? đây là gợi ý.

Microchip tung “chiến binh” mới: Mô-đun vi điều khiển đầu tiên cho thiết bị ngoại vi

tinybook tinybook 1 tuần 4 ngày
Microchip tung “chiến binh” mới: Mô-đun vi điều khiển đầu tiên cho thiết bị ngoại vi
Không hổ danh là thương hiệu đi đầu về giải pháp điều khiển nhúng thông minh, sáng nay (13/10) Microchip đã cho ra đời giải pháp WFI32E01PC, đây hứa hẹn sẽ là sản phẩm "chiến binh" với hàng loạt tính năng ấn tượng.

Mẹo làm mát laptop của dân mạng Nhật Bản, thử xong ai cũng tấm tắc khen hay

tinybook tinybook 1 tuần 5 ngày
Mẹo làm mát laptop của dân mạng Nhật Bản, thử xong ai cũng tấm tắc khen hay
Bạn có thể giữ cho máy tính xách tay của mình luôn mát mẻ với thủ thuật tiện lợi này.

Benchmark máy tính là gì? Và cần chú ý gì trước khi thực hiện Benchmark?

tinybook tinybook 1 tuần 6 ngày
Benchmark máy tính là gì? Và cần chú ý gì trước khi thực hiện Benchmark?
Dựa vào kết quả benchmark, bạn có thể xác định được phương hướng để nâng cấp cấu hình sao cho phù hợp và đáp ứng nhu cầu sử dụng.

Danh sách các việc bạn cần làm để cho máy tính Windows của mình chạy “êm” hơn

tinybook tinybook 1 tuần 6 ngày
Danh sách các việc bạn cần làm để cho máy tính Windows của mình chạy “êm” hơn
Dọn dẹp lại Windows có thể mang lại cho bạn những cải thiện về hiệu suất rất lớn đấy.

Kỷ niệm sinh nhật 10 năm, Instagram tặng người dùng lựa chọn thay đổi biểu tượng ứng dụng trên Android và iOS

tinybook tinybook 2 tuần 2 ngày
Kỷ niệm sinh nhật 10 năm, Instagram tặng người dùng lựa chọn thay đổi biểu tượng ứng dụng trên Android và iOS
Hẳn là bạn chưa biết biểu tượng đầu tiên của ứng dụng Instagram là như thế nào đâu nhỉ?

Đừng bao giờ mua Airpods cũ - Đây là lý do tại sao

tinybook tinybook 2 tuần 5 ngày
Đừng bao giờ mua Airpods cũ - Đây là lý do tại sao
Hãy tưởng tượng bạn đang chuẩn bị mua lại một que ngoáy tai đã qua sử dụng của một người khác với giá cắt cổ?

9 Mẹo và thủ thuật giúp bạn có thể khai thác được tối đa tính năng mà Gmail mang đến

tinybook tinybook 2 tuần 6 ngày
9 Mẹo và thủ thuật giúp bạn có thể khai thác được tối đa tính năng mà Gmail mang đến
Với những mẹo và thủ thuật này, việc sử dụng Gmail sẽ tiện lợi hơn bao giờ hết.

Lỗi “Code 10” ở Windows là gì? Và làm thế nào để khắc phục nó?

tinybook tinybook 3 tuần 3 ngày
Lỗi “Code 10” ở Windows là gì? Và làm thế nào để khắc phục nó?
Cùng tìm hiểu và tham khảo cách khắc phục lỗi “Code 10” ở Windows.

Cách chuyển toàn bộ ảnh từ Facebook sang Google Photos để phòng trường hợp bị khóa tài khoản

tinybook tinybook 3 tuần 6 ngày
Cách chuyển toàn bộ ảnh từ Facebook sang Google Photos để phòng trường hợp bị khóa tài khoản
Cẩn thận luôn là điều cần thiết khi sử dụng Facebook, cũng như các mạng xã hội khác.

Elon Musk cho biết Tesla sẽ sản xuất 'siêu điều hòa' với màng lọc HEPA vào 'một ngày nào đó'

tinybook tinybook 1 tháng 1 tuần
Elon Musk cho biết Tesla sẽ sản xuất siêu điều hòa với màng lọc HEPA vào một ngày nào đó
Tesla hiện đang sở hữu một trong các công nghệ lọc không khí trên ô tô hiện đại và có hiệu suất bậc nhất trên thế giới.

Cách thiết lập Windows 10 luôn ở chế độ an toàn khi tháo USB khỏi máy tính

tinybook tinybook 1 tháng 1 tuần
Cách thiết lập Windows 10 luôn ở chế độ an toàn khi tháo USB khỏi máy tính
Tiết kiệm khá nhiều thời gian với USB trên Windows 10.

Những phím tắt giúp điều hướng nhanh khi chỉnh sửa dữ liệu trong Microsoft Excel

tinybook tinybook 1 tháng 1 tuần
Những phím tắt giúp điều hướng nhanh khi chỉnh sửa dữ liệu trong Microsoft Excel
Phần tiếp theo của loạt bài các phím tắt hữu ích trong Microsoft Office : Excel.

Xử lý cực nhanh khi phát hiện điện thoại bị phồng pin

tinybook tinybook 1 tháng 2 tuần
Xử lý cực nhanh khi phát hiện điện thoại bị phồng pin
Pin điện thoại bị phồng có nguy hiểm không? Đây là vấn đề được rất nhiều người quan tâm bởi chúng có thể gây nguy hại cho người dùng.

Quản lí thời gian sử dụng điện thoại của trẻ nhỏ từ xa với ứng dụng chính chủ từ Microsoft

tinybook tinybook 1 tháng 2 tuần
Quản lí thời gian sử dụng điện thoại của trẻ nhỏ từ xa với ứng dụng chính chủ từ Microsoft
Giải pháp giúp phụ huynh quản lí chi tiết thời gian sử dụng điện thoại của con cái.

Làm gì để giảm nóng và giật lag cho điện thoại mỗi khi chơi game?

tinybook tinybook 1 tháng 2 tuần
Làm gì để giảm nóng và giật lag cho điện thoại mỗi khi chơi game?
Mẹo nhỏ để điện thoại của bạn đỡ bị nóng khi chơi game.

Cách sử dụng kính lúp trong chỉnh sửa ảnh để nhấn mạnh nội dung trên iPhone

tinybook tinybook 1 tháng 2 tuần
Cách sử dụng kính lúp trong chỉnh sửa ảnh để nhấn mạnh nội dung trên iPhone
Cách làm nổi bật hoặc phóng to một phần của hình ảnh trên iPhone.

Giấu nhanh tập tin nhạy cảm trên Windows 10 theo cách mà không ai có thể ngờ tới

tinybook tinybook 1 tháng 2 tuần
Giấu nhanh tập tin nhạy cảm trên Windows 10 theo cách mà không ai có thể ngờ tới
Thủ thuật giúp giấu nhanh dữ liệu nhạy cảm trên Windows 10.

Cài “báo động” mỗi khi mất kết nối Internet trên Windows 10

tinybook tinybook 1 tháng 3 tuần
Cài “báo động” mỗi khi mất kết nối Internet trên Windows 10
Thủ thuật nhỏ trên Windows 10 theo dõi trạng thái kết nối mạng khi chơi game.

4 Cách "khám" và chuẩn đoán chính xác sức khỏe ổ cứng máy tính

tinybook tinybook 1 tháng 3 tuần
4 Cách "khám" và chuẩn đoán chính xác sức khỏe ổ cứng máy tính
Có bao giờ bạn tự hỏi rằng ổ cứng máy tính sẽ còn “sống” được bao lâu hay không?

Cách tìm nhanh các thiết bị kết nối không dây dễ rơi mất bằng smartphone

tinybook tinybook 1 tháng 3 tuần
Cách tìm nhanh các thiết bị kết nối không dây dễ rơi mất bằng smartphone
Tuy tiện dụng nhưng các thiết bị kết nối không dây cũng rất dễ bị rơi mất nếu bạn không cẩn thận.

Những lúc cấp bách chẳng biết đi đâu, ăn gì: Sao không tự làm "Bản đồ ăn chơi" cho riêng mình?

tinybook tinybook 2 tháng 1 tuần
Những lúc cấp bách chẳng biết đi đâu, ăn gì: Sao không tự làm "Bản đồ ăn chơi" cho riêng mình?
Lúc nào cũng phải tìm quán ăn trên Google, rồi lên lịch trình đi chơi trên giấy, tại sao lại không tự làm một bản đồ riêng cho chính mình nhỉ?

Cách biến máy tính Windows 10 thành một chiếc "router ảo" để chia sẻ kết nối Internet và tập tin

tinybook tinybook 2 tháng 2 tuần
Cách biến máy tính Windows 10 thành một chiếc "router ảo" để chia sẻ kết nối Internet và tập tin
Thủ thuật nhỏ giúp chia sẻ kết nối Internet và tập tin an toàn trên Windows 10.

Cách biến smartphone cũ làm camera quan sát trong gia đình

tinybook tinybook 2 tháng 3 tuần
Cách biến smartphone cũ làm camera quan sát trong gia đình
Một cách tận dụng smartphone cũ khá ấn tượng và dễ thiết lập.

Tự tạo giao diện cho Windows 10 với Stardock Curtains

tinybook tinybook 2 tháng 3 tuần
Tự tạo giao diện cho Windows 10 với Stardock Curtains
Thêm lựa chọn cá nhân hóa giao diện Windows với công cụ mới từ Stardock.

5 mẹo để tăng tín hiệu điện thoại khi ra ngoài trời

tinybook tinybook 2 tháng 3 tuần
5 mẹo để tăng tín hiệu điện thoại khi ra ngoài trời
Không phải lúc nào bạn cũng có thể sống trong môi trường đầy sóng Wi-Fi và tín hiệu di động mạnh.

Thử cài DOOM lên máy tính bỏ túi chạy bằng 45kg khoai, anh Youtuber nhận kết quả bất ngờ

tinybook tinybook 1 tuần 2 ngày
Thử cài DOOM lên máy tính bỏ túi chạy bằng 45kg khoai, anh Youtuber nhận kết quả bất ngờ
Mới đây nhất, một Youtuber có tên Equalo đã khiến cộng đồng game thủ cảm thấy thán phục khi thực hiện thành công một ‘thử thách’ không tưởng: Chơi Doom trên một máy tính bỏ túi chạy bằng khoai tây
tinybook Công Nghệ Thông Tin








Chat