Một lỗ hổng bảo mật đáng lo ngại đã được phát hiện trong ứng dụng Mật khẩu (Passwords) của Apple trên iOS 18, khiến người dùng có nguy cơ bị tấn công lừa đảo có chủ đích. Lỗ hổng này đã tồn tại trong vài tháng trước khi được Apple vá lại trong bản cập nhật iOS 18.2.
Ứng dụng Passwords của Apple từng vướng lỗi bảo mật nghiêm trọng.
Theo công ty nghiên cứu bảo mật Mysk, ứng dụng Mật khẩu trong phiên bản iOS 18 sử dụng giao thức HTTP kém an toàn thay vì HTTPS khi mở liên kết hoặc tải biểu tượng. Điều này tạo cơ hội cho kẻ xấu trên cùng mạng Wi-Fi (ví dụ: quán cà phê, sân bay) chặn yêu cầu HTTP và chuyển hướng người dùng đến trang web giả mạo, từ đó đánh cắp thông tin đăng nhập.
Để khai thác lỗ hổng này, kẻ tấn công cần phải:
- Có mặt trên cùng mạng Wi-Fi với nạn nhân.
- Biết về lỗ hổng và chủ động khai thác.
- Chờ nạn nhân mở ứng dụng Mật khẩu, chọn một mật khẩu và nhấn vào liên kết trong ứng dụng.
- Chặn lưu lượng truy cập và thay thế trang đăng nhập thật bằng trang giả mạo.
Apple đã khắc phục lỗ hổng này trong bản cập nhật iOS 18.2 vào tháng 12/2024, nhưng không công bố thông tin chi tiết cho đến ngày 17/3/2025. Điều này có thể nhằm mục đích bảo vệ người dùng chưa cập nhật.
Mặc dù nguy cơ bị tấn công thực tế là thấp do tính đặc thù của phương thức tấn công, người dùng vẫn nên cập nhật lên iOS 18.2 (hoặc phiên bản mới nhất) càng sớm càng tốt để đảm bảo an toàn.
