Giám đốc nghiên cứu của công ty bảo mật Digita Security đã đăng tải trên Twitter cá nhân video về lỗ hổng bảo mật Zero-Day trên MacOS Mojave, cho phép tin tặc vượt qua hệ thống tường lửa ngăn các ứng dụng truy cập dữ liệu cá nhân.
Trên các phiên bản MacOS trước, hệ thống thường yêu cầu quyền truy cập, trước khi cho phép các ứng dụng sử dụng thông tin về danh bạ và lịch của người dùng. Tại hội nghị WWDC 2018, Apple tuyên bố MacOS Mojave sẽ là bước tiến mới về bảo mật khi đòi hỏi quyền truy cập của các ứng dụng vào máy ảnh, micro, email và phân vùng sao lưu dữ liệu.
Chia sẻ trên trang TechCrunch, ông Wardle cho biết lỗ hổng được phát hiện “không vượt qua hoàn toàn” hệ thống tường lửa trên MacOS Mojave. Nhưng nó có thể cho phép các ứng dụng độc hại lấy đi dữ liệu nhạy cảm nhất định như liên lạc được lưu trữ, nếu người dùng đăng nhập.
Qua đoạn video, bạn có thể thấy ban đầu hệ điều hành từ chối quyền truy cập danh bạ. Tuy nhiên, khi ông Wardle chạy dòng lệnh mô phỏng ứng dụng độc hại, máy tính đã sao chép toàn bộ liên lạc. Chi tiết về lỗ hổng nói trên chưa được công bố bởi ông Wardle không muốn đặt người dùng MacOS vào tình trạng nguy hiểm. Tuy nhiên, ông vẫn bày tỏ sự thất vọng khi không nhận được bất kỳ khoản thưởng nào từ biểu tượng công nghệ Mỹ.
Ông Wardle khẳng định: “Các nhà cung cấp hệ điều hành khác đều thừa nhận rằng bất kỳ phần mềm nào cũng tồn tại lỗ hổng” nhưng Apple đang che giấu chuyện này. Thực tế, Apple là công ty công nghệ lớn tổ chức chương trình săn tiền thưởng cho các nhà nghiên cứu bảo mật muộn nhất. Và trong khi công ty cung cấp giải thưởng 200.000 USD cho lỗ hổng bảo mật trên iOS, thì trên người tìm ra hiểm họa an ninh trên MacOS lại không nhận được bất kỳ khoản tài trợ nào.
“Thật không may, Apple không muốn thay đổi chính sách tiếp cận với vấn đề bảo mật, trừ khi sự cố xảy ra”. Ông Wardle nói thêm: “Nói chung, các công ty sẽ không thay đổi điều gì cho đến khi phát hiện ra lỗi”.
Đây không phải lần đầu tiên, cựu chuyên gia bảo mật của Cơ quan An ninh Quốc gia Mỹ (NSA) phát hiện lỗ hổng nghiêm trọng trên hệ điều hành MacOS. Ngay trong ngày ra mắt MacOS High Sierra năm ngoái, ông đã phát hiện lỗ hổng nghiêm trọng Zero-Day. Thông qua đó, tin tặc có thể khai thác để chiếm quyền kiểm soát hệ thống chỉ với 2 dòng lệnh.
Về chi tiết lỗ hổng bảo mật trên MacOS Mojave, ông Wardle dự kiến sẽ công bố chi tiết tại hội nghị Objective by the Sea vào tháng 11. Trang TechCrunch đã liện hệ nhưng chưa nhận được phản hồi của Apple.
Theo TechCrunch