Phát hiện lỗ hổng bảo mật nghiêm trọng trên iPhone, iPad

(Dân trí) - Một lỗ hổng bảo mật nghiêm trọng trên trình duyệt web của các thiết bị iOS mà từ đó hacker có thể lợi dụng để dẫn người dùng đến các trang web lừa đảo, nhằm đánh cắp thông tin cá nhân vừa được các chuyên gia bảo mật phát hiện ra.

Mặc dù cả 2 trang web đều có địa chỉ apple.com và có giao diện giống nhau, tuy nhiên trang web bên trái lại là trang web giả mạo

Trước đây, người dùng thường bị các hacker đánh lừa bằng cách sử dụng các trang web giả mạo có giao diện giống với các trang web thật, khiến người dùng bị nhầm lẫn và khai báo thông tin cá nhân với các trang web đó.

Cách thức này chỉ qua mặt được những ai bất cẩn, còn với những người thường xuyên kiểm tra kỹ lưỡng địa chỉ các trang web trước khi ghé thăm thì có thể dễ dàng nhận ra địa chỉ trang web lừa đảo khác với địa chỉ của trang web thực sự.

Tuy nhiên, với lỗi bảo mật mới vừa được chuyên gia David Vieira-Kurz của công ty bảo mật MajorSecurity phát hiện ra trên các thiết bị di động sử dụng nền tảng iOS của Apple, thì ngay cả khi địa chỉ trang web hiển thị đúng trên thanh địa chỉ của trình duyệt thì người dùng cũng có thể đang truy cập vào trang web lừa đảo, thay vì trang web thực sự.

Theo David Vieira-Kurz thì lỗi bảo mật này xuất hiện trên trình duyệt của các thiết bị sử dụng iOS 5.1 bao gồm iPhone 4, iPhone 4S, iPad thế hệ thứ 2 và cả iPad thế hệ mới. Lỗ hổng bảo mật này khai thác một lỗi trong cách thức mở cửa sổ mới trên trình duyệt web của iOS.

“Điều này có thể được khai thác để lừa đảo người dùng, yêu cầu họ cung cấp các thông tin cá nhân nhạy cảm, bởi vì địa chỉ trang web hiển thị trên thanh địa chỉ trình duyệt khiến người dùng tin rằng họ đang truy cập vào một trang web tin cậy, mặc dù đây là trang web lừa đảo do hacker xây dựng”, Vieira-Kurz cho biết.

Để chứng minh cho phát hiện về lỗ hổng bảo mật trên iOS, MajorSecurity đã tạo ra một trang web, khi đó nếu người dùng truy cập vào trang web này (thông qua địa chỉ http://majorsecurity.net/html5/ios51-demo.html) bằng thiết bị sử dụng iOS, sau đó nhấn nút Demo, lập tức một cửa sổ mới của trình duyệt Safari hiện ra, với đường link “http://www.apple.com” trên thanh địa chỉ của trình duyệt, nhưng thực chất đây là trang web do chính MajorSecurity tạo ra.

Hiện tại chưa có bản vá lỗi nào được Apple đưa ra để khắc phục lỗ hổng bảo mật này, tuy nhiên MajorSecurity hy vọng Apple sẽ sớm đưa ra biện pháp khắc phục cho lỗ hổng bảo mật do mình tìm ra, đồng thời khuyên người dùng đề cao cảnh giác với các trang web yêu cầu khai báo các thông tin cá nhân nhạy cảm.

T.Thủy

Theo MSNBC