Giúp phát hiện lỗ hổng bảo mật trên iOS, Google còn bị Apple... chỉ trích

Vào hồi tháng 2 vừa qua, nhóm nghiên cứu bảo mật Project Zero của Google đã phát hiện được 12 lỗ hổng bảo mật nghiêm trọng trên nền tảng iOS của Apple, chủ yếu nằm trên trình duyệt Safari của thiết bị. Với các lỗ hổng bảo mật này, các tin tặc có thể chèn mã độc vào các trang web và khi người dùng thiết bị chạy iOS (bao gồm iPhone và iPad) truy cập vào các trang web này, mã độc sẽ khai thác lỗ hổng bảo mật trên nền tảng iOS để tấn công và xâm nhập vào thiết bị.

Mã độc sau đó sẽ lấy cắp các thông tin trên thiết bị, như danh sách liên lạc, hình ảnh, thông tin địa GPS và thậm chí dữ liệu của các ứng dụng bên thứ 3 như Instagram, Gmail hay WhatsApp... sau đó sẽ gửi các dữ liệu này ra một máy chủ đặt ở bên ngoài do tin tặc kiểm soát. Dữ liệu được gửi đi sau mỗi 60 giây để có thể lấy cắp những dữ liệu mới nhất từ thiết bị của nạn nhân.

Điều đáng chú ý là các lỗ hổng bảo mật đã tồn tại khoảng 2 năm trước khi được phát hiện, ảnh hưởng từ phiên bản iOS 10 đến iOS 12.  Điều này đồng nghĩa với việc hàng triệu thiết bị chạy iOS có nguy cơ bị ảnh hưởng. Điều đáng lo ngại đó là theo các chuyên gia của Google, tin tặc đã khai thác lỗ hổng bảo mật này để tấn công người dùng trước khi nó được phát hiện.

Sau khi phát hiện loạt lỗ hổng bảo mật nghiêm trọng này, Google đã nhanh chóng thông báo đến Apple và “Quả táo” chỉ mất 10 ngày để phát hành bản cập nhật trên iOS để vá lỗi các lỗ hổng bảo mật nghiêm trọng, đồng thời đã gửi một khoản tiền thưởng đến nhóm bảo mật Project Zero của Google vì phát hiện và cảnh báo về lỗ hổng bảo mật trên nền tảng iOS.

Mặc dù các lỗ hổng bảo mật trên iOS được Google phát hiện từ hồi tháng 2, nhưng phải đến đầu tháng 9 vừa qua, Google mới công khai chi tiết về các lỗ hổng bảo mật đã phát hiện được. Tuy nhiên, việc công khai các lỗ hổng bảo mật nghiêm trọng trên iOS dường như đã khiến cho Apple cảm thấy tự ái và thậm chí chỉ trích Google.

Theo Apple thì Google và nhóm nghiên cứu bảo mật của hãng đã làm “quan trọng hóa” các lỗ hổng bảo mật phát hiện được trên iOS, khiến người dùng cảm thấy hoang mang hơn so với mức độ nghiêm trọng thực tế.

“Đầu tiên, đây là một cuộc tấn công tinh vi trong phạm vi hẹp, không phải khai thác trên diện rộng người dùng iPhone như đã được mô tả. Cuộc tấn công ảnh hưởng đến ít hơn mười trang web, tập trung vào cộng đồng người Duy Ngô Nhĩ”, Apple cho biết trong một thông cáo đưa ra. “Thông báo của Google, được đưa ra 6 tháng sau khi lỗ hổng trên iOS đã được khắc phục, tạo ra một ấn tượng sai lầm về việc ‘khai thác hàng loạt’ để giám sát các hoạt động riêng tư của toàn bộ người dùng theo thời gian thực, làm dấy lên những nỗi sợ hãi với tất cả người dùng iPhone rằng thiết bị của họ đã bị xâm phạm. Sự thực là chưa bao giờ như vậy”.

Apple cũng “tố cáo” Google đã nói quá về thời gian tồn tại của các lỗ hổng bảo mật, khi cho rằng các lỗi bảo mật này chỉ mới tồn tại được 2 tháng, thay vì trong 2 năm như Google đã ước tính. Apple cũng khẳng định rằng họ đã phát hiện được các lỗ hổng bảo mật này vài ngày trước khi được phía Google thông báo.

Về phía Google, công ty vẫn giữ vững lập trường về bản báo cáo ban đầu của mình và cho biết vẫn sẽ tiếp tục với Apple cũng như nhiều hãng công nghệ khác để giúp người dùng được an toàn khi trực tuyến.

“Dự án Project Zero đăng tải thông tin về các nghiên cứu bảo mật để nâng cao hiểu biết về các lỗ hổng bảo mật, giúp phát triển các chiến lược phòng thủ tốt hơn”, một phát ngôn viên của Google cho biết, đáp trả lại tuyên bố của Apple. “Chúng tôi thực hiện các nghiên cứu chuyên sâu và công bố các khía cạnh kỹ thuật về các lỗ hổng bảo mật. Chúng tôi vẫn sẽ tiếp tục hợp tác với Apple và các công ty hàng đầu khác để giúp người dùng an toàn khi trực tuyến”.

T.Thủy