Đánh cắp mật khẩu Apple ID và biện pháp phòng tránh

Khoảng thời gian gần đây, dư luận đang tỏ ra xôn xao về việc người dùng Apple than phiền bị đánh cắp mật khẩu nhưng không hiểu lý do. Tình trạng trên lại có dấu hiệu gia tăng và khiến không ít iFan cảm thấy lo lắng hiện nay. Vậy thì diễn biến cụ thể của sự việc này ra sao và chúng ta có thể làm gì để phòng tránh? Hãy cùng tìm hiểu điều đó ngay sau đây:

6a71

Đánh cắp mật khẩu Apple ID diễn ra như thế nào?  

Hệ điều hành iOS thường xuyên yêu cầu người dùng nhập mật khẩu Apple ID để thực hiện nhiều tác vụ khác nhau. Phổ biến nhất là khi cài đặt bản cập nhật hệ điều hành iOS hoặc trong khi cài đặt các ứng dụng iOS. Do đó, người dùng hình thành thói quen nhập mật khẩu Apple ID của mình bất cứ khi nào hệ điều hành iOS yêu cầu.

Khi yêu cầu nhâp mật khẩu, trên màn hình sẽ xuất hiện một cửa sổ được gọi là Popup và bạn chỉ việc gõ password của mình lên đó. Tuy nhiên các popup không chỉ hiển thị trên màn hình khóa, màn hình trang chủ mà thậm chí còn xuất hiện bên trong các ứng dụng mà chúng ta thường dùng. Ví dụ như khi họ muốn truy cập iCloud, Game Center hay thanh toán online.

Dựa vào đó, các hacker dễ dàng tạo ra một popup giả mạo, được gọi là UIAlertController và trông giống hệt hộp thoại của hệ thống. Người dùng sẽ dễ dàng bị đánh lừa và nhập mật khẩu Apple ID vào hộp thoại này, mà không biết rằng nó sẽ được gửi tới tận tay hacker.

mwsnap015-1507708025513

>> Cách lấy lại mật khẩu Apple ID chỉ trong 30 giây

Hack mật khẩu Apple ID chưa bao giờ dễ đến thế?

Việc tạo ra một vài dòng code để có thể hiển thị cửa sổ popup giả mạo yêu cầu hệ thống là rất đơn giản. Lập trình viên Felix Krause cho biết anh mất chưa tới 30 dòng code để hoàn thiện. Và nếu anh còn thực hiện dễ dàng như thế thì tất cả các lập trình viên iOS đều có thể làm được. Các ứng dụng iOS đều cho phép các lập trình viên thực hiện tùy chỉnh sau khi đã đăng ký vì thế việc hack mật khẩu với họ là chuyện dễ như trở bàn tay.

Mặc dù người dùng có thể tự bảo vệ mình bằng cách kích hoạt tính năng xác thực hai bước (two-factor authentication) trên Apple ID. Nhưng điều đó cũng không đảm bảo 100%. Bởi hacker có thể tạo ra thêm một cửa sổ popup nữa và yêu cầu người dùng nhập luôn cả mã xác thực. Với những người không rành về công nghệ và thiếu cẩn trọng, họ có thể dễ dàng cung cấp mã xác thực mà không biết rằng đó là popup giả mạo. Ngay cả khi Apple quản lý rất chặt chẽ các ứng dụng của bên thứ ba trên App Store. Việc tùy chỉnh và thêm một vài dòng code vào ứng dụng sau khi đã được Apple cấp phép là điều không khó đối với những hacker có quyết tâm.

photo-0-1507708226891

>> iPhone X chất lượng thế nào, mức giá có phù hợp với đa số người dùng Việt Nam

Ví dụ, các hacker có thể sử dụng một công cụ cấu hình từ xa để kích hoạt tính năng mới cho ứng dụng sau khi được Apple cấp phép. Hay sử dụng một trình kích hoạt theo thời gian, với các đoạn mã đặc biệt chỉ khởi chạy sau khi ứng dụng được cấp phép. Tất nhiên Apple có thể phát hiện và khóa tài khoản của những kẻ “to gan” dám thực hiện các hành vi này, nhưng có thể lúc đó đã quá muộn.

Biện pháp phòng tránh việc bị đánh cắp mật khẩu Apple ID

Vậy thì trước sự manh động và nguy hiểm đang không ngừng gia tăng của các hacker hiện nay, người dùng chúng ta cần phải làm gì để phòng tránh việc bị đánh cắp mật khẩu Apple ID đây? Theo lập trình viên Felix Krause thì các iFan nên thực hiện theo những bước sau:

Đầu tiên, bạn có thể thử nhấn nút Home và xem ứng dụng có bị thoát ra hay không. Nếu như ứng dụng thoát ra cùng với cả popup, ứng dụng đó đã được cài mã đánh cắp mật khẩu của bạn. Nếu như ứng dụng và hộp thoại vẫn hiển thị, thì đó là thông báo của hệ thống iOS. Lý do là vì hộp thoại của hệ thống được chạy trên một tiến trình riêng và không phải của bất kỳ ứng dụng nào, do đó bạn không thể thoát bằng cách ấn nút Home.

photo-0-1507708465781

Bạn có thể không cần nhập mật khẩu vào cửa sổ popup, thay vào đó bạn có thể bỏ qua và mở Cài đặt ứng dụng theo cách thủ công. Cũng giống như việc bạn không nên bấm trực tiếp vào các đường link trong messenger hay email, những hành động táy máy đó đôi khi có thể khiến chúng ta phải trả giá bằng việc bị đánh cắp mật khẩu. Nếu như bạn đã lỡ gõ mật khẩu trong cửa sổ popup, nhưng chưa gửi, ứng dụng vẫn có quyền truy cập vào nội dung của trường mật khẩu. Do đó, hacker vẫn có được mật khẩu dù bạn kịp thời bấm nút Cancel. Vì thế, “cẩn tắc vô áy náy”, chúng ta cần tránh việc tạo cơ hội cho các hacker đánh cắp mật khẩu Apple ID của mình bằng việc kỹ càng hơn trong lựa chọn nhập password ở popup.