iOS 10 phát sinh lỗi bảo mật nghiêm trọng liên quan đến sao lưu dữ liệu

Một công ty bảo mật của Nga cho biết cơ chế xác minh mật khẩu mới trên iOS 10 của Apple có thể khiến mật khẩu sao lưu dữ liệu trên iTunes bị bẻ khóa nhanh hơn trước rất nhiều.

Các bản sao lưu dữ liệu của iPhone và iPad thông qua iTunes trên máy Mac hay PC đều được bảo vệ bằng một mật khẩu duy nhất. Lấy được mật khẩu này đồng nghĩa với việc hacker có thể truy cập vào toàn bộ dữ liệu của thiết bị. Thậm chí, hacker có thể vào được cả Keychain, nơi lưu trữ các mật khẩu và thông tin nhạy cảm của người dùng. Mới đây, một Công ty Elcomsoft (Nga) cho biết đã phát hiện một lỗi bảo mật nghiêm trọng trên iOS 10 có liên quan đến việc sao lưu dữ liệu của người dùng theo cách nói trên.

Lý do của lỗi bảo mật này bắt nguồn từ việc Apple đã bỏ qua những "kiểm tra bảo mật cần thiết" để giúp người dùng có thể sao lưu dữ liệu lên iTunes nhanh hơn, nghĩa là thay đổi thuật toán bảo mật cũ. Trước đó, từ iOS 4 đến iOS 9, Apple luôn dùng thuật toán PBKDF2 khiến mật khẩu trên các bản sao lưu dữ liệu trên iTunes phải trải qua tới 10000 vòng lặp để được xác nhận. Tuy nhiên, ở iOS 10, Apple đã chuyển sang dùng thuật toán SHA256 với chỉ 1 vòng lặp duy nhất. Điều này đã dẫn tới lỗ hổng bảo mật nghiêm trọng.

Công ty Elcomsoft đã thực hiện thử nghiệm tấn công hack iOS 10 bằng pháp brute-force (tấn công bằng kiểu dò mật khẩu). Kết quả cho thấy mật khẩu iTunes trên iOS 10 dễ bị bẻ khóa hơn iOS 9 tới 2500 lần khi cùng sao lưu lên một máy tính dùng chip i5 của Intel. Theo đó, công ty đã có thể xử lý 2.400 mật khẩu/giây với iOS 9 thì nay công cụ này đã có thể xử lý 6 triệu mật khẩu/giây trên iOS 10.

Người dùng iPhone và iPad sẽ sớm được nhận một bản cập nhật vá lỗi cho iOS 10 trong thời gian tới. May mắn là lỗi này được xác định không ảnh hưởng tới bảo mật iCloud.

Xuân Dung