Bài học rút ra chính
- Các lỗ hổng mới được tiết lộ trong ứng dụng tìm thiết bị của Apple có thể tiết lộ vị trí và danh tính của bạn.
- Ứng dụng sử dụng mạng nguồn cộng đồng gồm hàng triệu thiết bị để xác định vị trí các thiết bị "bị mất", không được kết nối bằng Bluetooth.
- Tin tặc có thể truy cập trái phép vào lịch sử vị trí của bạn trong bảy ngày qua và liên hệ nó với danh tính của bạn.
Hệ thống theo dõi vị trí giúp bạn tìm thiết bị Apple cũng có thể tiết lộ danh tính của bạn, các nhà nghiên cứu cho biết.
Tìm kiếm Ngoại tuyến cho phép bạn xác định vị trí các thiết bị của Apple ngay cả khi chúng không được kết nối với internet. Apple đã cho biết ứng dụng bảo vệ quyền riêng tư của người dùng, nhưng các lỗi bảo mật được báo cáo trong phần mềm cho thấy tính ẩn danh khó có thể xuất hiện trên internet. Theo một bài báo gần đây được xuất bản bởi các nhà nghiên cứu từ Đại học Kỹ thuật Darmstadt ở Đức, tin tặc có thể truy cập trái phép vào lịch sử vị trí của bạn trong bảy ngày qua và liên hệ nó với danh tính của bạn.
"Điều này thực sự cho chúng ta thấy rằng không có gì là an toàn 100% và ngay cả sau các bản vá của Apple, những kẻ tấn công cuối cùng sẽ tìm thấy các lỗ hổng mới để khai thác", Jason Glassberg, đồng sáng lập của công ty an ninh mạng Casaba Security, cho biết trong một cuộc phỏng vấn qua email. "Vấn đề lớn hơn ở đây là quyền riêng tư của người dùng không bao giờ có thể được đảm bảo và mọi người cần phải thay đổi suy nghĩ của họ từ ý tưởng là 'riêng tư' sang thực tế là 'ít bị khai thác hơn.'"
Tìm và Xác định
Nhóm Darmstadt nhận thấy rằng "thiết kế tổng thể đạt được các mục tiêu cụ thể của Apple" về quyền riêng tư, nhưng họ đã phát hiện ra hai lỗ hổng "dường như nằm ngoài mô hình mối đe dọa của Apple" và có thể gây ra hậu quả nghiêm trọng.
Vấn đề lớn hơn ở đây là quyền riêng tư của người dùng không bao giờ có thể được đảm bảo.
Các chuyên gia nói rằng đừng quá lo lắng về những khuyết điểm này.
"Mặc dù hai lỗ hổng bảo mật đã được tìm thấy trong tính năng Tìm kiếm Ngoại tuyến của Apple, nhưng cả hai lỗi đều không nghiêm trọng và chưa có báo cáo nào về việc các lỗ hổng này bị khai thác trong tự nhiên", Paul Bischoff, chuyên gia về quyền riêng tư của Comparitech, cho biết trong một cuộc phỏng vấn qua email. "Apple đã vá các lỗ hổng nghiêm trọng hơn trong số hai lỗ hổng, vì vậy chủ sở hữu iPhone nên cập nhật thiết bị của họ càng sớm càng tốt."
Một lỗ hổng trong ứng dụng sẽ cho phép Apple theo dõi vị trí của người dùng, điều này sẽ đi ngược lại chính sách bảo mật của hãng, Bischoff nói. "Nói như vậy, không có bằng chứng nào cho thấy Apple đã lợi dụng lỗ hổng này và các nhà nghiên cứu không nói rằng nó có thể bị kẻ tấn công bên thứ ba khai thác".
Một lỗi khác cho phép kẻ tấn công truy cập lịch sử vị trí được lưu trữ trên iPhone, mặc dù trước tiên chúng cần lây nhiễm phần mềm độc hại cho iPhone. Mặc dù Apple có thể đã vá vấn đề này, nhưng các lỗ hổng trong ứng dụng "Tìm của tôi" làm nổi bật cách dữ liệu vị trí có thể tiết lộ nơi ai đó sống và làm việc.
"Ví dụ: nếu người dùng có một ứng dụng di động cụ thể cho ô tô của họ, luồng GPS có thể xác định xu hướng của người dùng đó khi họ rời văn phòng có thể khiến họ gặp nạn", Mark Pittman, Giám đốc điều hành của Blyncsy, một công ty tình báo dữ liệu và phong trào, cho biết trong một cuộc phỏng vấn qua email. "Tương tự, nếu người dùng đang chia sẻ GPS từ một ứng dụng hẹn hò, nó có thể bị kẻ săn mồi sử dụng để theo dõi và có khả năng tấn công người dùng."
Cách Bảo vệ Bản thân
Giả sử bạn lo lắng về việc danh tính của mình bị lộ. Trong trường hợp đó, bạn có thể chọn không tham gia mạng "Tìm của tôi" trong cài đặt ứng dụng Tìm iPhone của tôi, chuyên gia an ninh mạng Chris Hazelton, giám đốc giải pháp bảo mật tại Lookout đã chỉ ra trong một cuộc phỏng vấn qua email.
"Nếu họ muốn chắc chắn hơn, người dùng có thể tắt Bluetooth, được sử dụng để kết nối với các thiết bị bị mất", Hazelton nói. "Mặc dù rất khó để ngăn vị trí của bạn được theo dõi tổng thể, nhưng một phương pháp hay nhất là không cho phép bất kỳ ứng dụng nào theo dõi vị trí của bạn liên tục."
Quyết định có chọn tham gia dịch vụ "Tìm của tôi" hay không là do người dùng quyết định, Hazelton nói. Họ cần quyết định xem lợi ích của dịch vụ vị trí có lớn hơn rủi ro khi chia sẻ vị trí của họ hay không.
"Đối với các dịch vụ như Tìm iPhone của tôi," anh ấy nói thêm, "hầu hết người dùng bị mất thiết bị của họ có thể sẽ nói có."
