Hôm 2/10, chuyên gia nghiên cứu bảo mật Aviv Raff đã tiết lộ hai lỗ hổng bảo mật iPhone. Những lỗ hổng bảo mật này sẽ nguy hiểm cho người sử dụng khi vô tình truy cập vào các trang web độc hại.

Aviv Raff đã thông báo những lổ hổng bảo mật này cho Apple vào tháng 7 năm nay, nhưng Apple vẫn chưa đưa ra những bản vá sửa chữa những lỗ hổng này.

Lỗ hổng bảo mật thứ nhất nằm trong ứng dụng thư điện tử và trình duyệt Safari của
iPhone. Khi trình duyệt Safari hiển thị những địa chỉ URL dài thông thường bỏ đi một phần địa chỉ. Như vậy, những kẻ cố ý gây hại có thể ngụy trang địa chỉ URL có hại và không cho người dùng có cơ hội nhìn thấy những địa chỉ này.

Aviv Raff giải thích, Hacker có thể lợi dụng lỗ hổng này làm giả một địa chỉ URL rất dài bắt đầu bằng những địa chỉ trang web hợp pháp đáng tin cậy. Nhưng thực tế, địa chỉ này sẽ dẫn đến một trang web nội dung hoàn toàn khác. Người dùng iPhone chỉ có thể nhìn thấy một số tên miền quen thuộc, vì vậy rất dễ bị lừa khi nhấn vào các đường link nguy hiểm.

Aviv Raff còn cho biết, trong ứng dụng thư điện tử của iPhone cũng tồn tại một lỗ hổng. Lỗ hổng trong quá tình tự động tải Email dạng HTML có link các hình ảnh.

Hầu hết các trình ứng dụng thư điện tử đều cho phép người dùng tải các hình ảnh, nhưng mỗi lần trước khi tải về đều phải thông qua sự xác nhận của người dùng. Việc cài đặt lựa chọn này giúp người dùng thư điện tử tự bảo vệ mình, tránh được sự phiền hà của thư rác. Bởi vì nếu khi người nhận thư mở thư rác hay tải ảnh, người gửi thư rác sẽ biết được những thông tin.

Aviv Raff nói: "Đây không phải là lỗ hổng bảo mật nhỏ, thực tế đây là lỗ hổng bảo mật về mặt thiết kế. Những hãng phần mềm quản lý email đã khắc phục những lỗ hổng bảo mật này từ mấy năm trước đây".

Thanh Quang (Theo Sina)



Bình luận

  • TTCN (2)
Hải Nam  30903

Không hiểu hai hình minh hoạ nói gì (hình dưới có lẽ là iPhone Tàu ?), còn hai lỗ hổng này nói chung thuộc loại không nghiêm trọng. Duyệt web trên ĐTDĐ thì tính dễ sử dụng là quan trọng nhất, chứ mà đòi xác nhận trước khi tải ảnh, hoặc hiển thị link đầy đủ thì...

Với lại làm cách nào để tạo đường dẫn dài mà bắt đầu bằng các tên miền quen thuộc nhỉ ? Lấy thí dụ, bắt đầu bằng www.google.com thì chắc chắn là không có vấn đề gì, vì các dịch vụ khác của Google không dùng domain đó: tạo trang web có googlepages.com hoặc sites.google.com, xem cache thì là IP trực tiếp của máy chủ chứa cache.

Đỗ Thanh Quang  1422

Có lẽ hai hình minh hoạ của bài viết gốc cũng không thể hiện rõ ND lắm. Xin cám ơn BTV!
Còn như lỗ hổng có nghiêm trọng hay không thì còn tuỳ thuộc
vào nhu cầu và ứng dụng của người dùng chứ nhỉ?