|
Giống như mọi dịch vụ trực tuyến khác, Apple có một tùy chọn để những người quên mật khẩu vào tài khoản iCloud của họ có thể reset mật khẩu khi nhập chính xác mă số OTP với 6 chữ số được gửi đến số điện thoại di động và địa chỉ email của họ. Để đảm bảo an toàn, Apple c̣n cẩn thận nhắc nhở người dùng nhận mă số OTP đó trên số điện thoại và địa chỉ email mà họ tin tưởng.
Tuy nhiên, một hacker mũ trắng có tên Laxman Muthiyah đă t́m ra cách vượt qua lớp bảo vệ của Apple để đổi mật khẩu cho bất kỳ tài khoản iCloud nào ḿnh muốn. Nhưng điều đáng nói hơn cả là cách hành xử của Apple khi nhận được thông tin đó.
Cách thức đơn giản reset mật khẩu iCloud
Không dùng đến các thủ thuật phức tạp, Laxman áp dụng giải pháp đơn giản nhất để t́m ra mă số OTP này: thử sai từng lần một. Laxman sẽ nhập thử tất cả các khả năng có thể của mă số có 6 chữ số để xem mă số nào sẽ cho kết quả đúng.
Tất nhiên, không dễ để làm vậy. Với 6 chữ số trong OTP, sẽ có khoảng 1 triệu khả năng khác nhau. Số lần nhập mă số OTP lại bị giới hạn trong 6 lần thử sai, nếu vượt quá, tài khoản sẽ bị tạm khóa trong vài giờ, kể cả khi đă đổi địa chỉ IP. Không bỏ cuộc, Laxman thử gửi đồng loạt các truy vấn mă OTP tới máy chủ Apple. Nhưng cũng giống như trên, không thể gửi quá 6 truy vấn cùng lúc tới máy chủ Apple nếu không muốn bị chặn địa chỉ IP.
Tuy nhiên, Laxman phát hiện ra Apple có 6 địa chỉ IP dành cho các máy chủ đảm nhiệm các truy vấn OTP trên toàn cầu. Do các giới hạn về số lần gửi truy vấn chỉ dành cho một IP máy chủ nào đó của Apple, nghĩa là vẫn có thể gửi tiếp các truy vấn khác đến các IP máy chủ c̣n lại của Apple – miễn là vẫn trong giới hạn cho phép.
Với mỗi địa chỉ IP cho máy chủ của Apple, sẽ chỉ có thể gửi đồng thời 6 truy vấn mă OTP. Điều này cũng có nghĩa là cùng lúc, từ mỗi địa chỉ IP bạn có thể gửi đến 36 truy vấn mă OTP đến 6 máy chủ Apple. Do vậy, nếu kẻ tấn công có huy động được 28.000 địa chỉ IP khác nhau, anh ta có thể gửi cùng lúc 1 triệu truy vấn đến máy chủ Apple và trong đó chắc chắn sẽ có một kết quả đúng được máy chủ Apple trả về.
28.000 địa chỉ IP không phải là vấn đề đối với các nhà cung cấp dịch vụ đám mây, nhưng Apple lại chặn truy vấn POST từ các nhà cung cấp như Amazon, Google Cloud hay Microsoft Azure. Nhưng Laxman phát hiện ra, Apple lại chỉ chặn truy vấn từ một số nhà cung cấp dịch vụ đám mây cụ thể và cuối cùng hacker này đă t́m ra một số nhà cung cấp dịch vụ đám mây không bị Apple chặn.
Và thật bất ngờ, cách làm này đă hiệu quả. Giờ Laxman này có thể đổi mật khẩu của bất kỳ Apple ID nào nếu muốn. Tất nhiên cuộc tấn công dạng này không dễ thực hiện. Để truy cập được vào tài khoản iCloud, Laxman c̣n phải vượt qua lớp khóa mă hóa 6 kư tự của iPhone có liên kết với tài khoản đó. Tuy vậy, cách thức vượt qua lớp bảo mật này cũng thực hiện tương tự như với iCloud.
Với lỗ hổng nghiêm trọng thế này, một hacker có thể kiếm được một số tiền lớn trên thị trường chợ đen, nhưng Laxman quyết định chọn cách thông báo với Apple – dù rằng số tiền thưởng sẽ ít hơn nhiều.
Sự im lặng đến đáng ngờ của Apple với lỗ hổng này
Ngày 1 tháng Sáu năm 2020, Laxman thông báo về lỗ hổng bảo mật cùng với video chứng minh tới cho nhóm bảo mật của Apple. Nhóm bảo mật của Apple thừa nhận vấn đề này và cho biết sẽ sớm sửa lỗi cho nó.
Nhưng sau 3 tháng, rồi lại thêm 5 tháng chờ đợi, Laxman vẫn không nhận được cập nhật nào từ phía Apple về lỗ hổng mà anh cho là nghiêm trọng này. Mỗi lần anh hỏi lại nhóm bảo mật của Apple là một lần anh nhận được câu trả lời rằng họ vẫn đang sửa chữa và vẫn chưa có thông tin ǵ mới có thể chia sẻ cho anh.
Đến này 1 tháng Tư năm 2021, khi kiểm tra lại lỗ hổng trên, Laxman nhận ra nó đă được vá lại trong không hề có thông tin ǵ từ phía Apple. Một tháng sau đó, anh lại email cho Apple một lần nữa, nói rằng kẽ hở này đă được vá vào ngày 1 tháng Tư nhưng tại sao không thấy Apple cập nhật về điều này. Thậm chí anh c̣n chia sẻ với họ bài viết về cách thức t́m ra lỗ hổng này.
Thế nhưng giờ là lúc mọi chuyện trở nên kỳ lạ.
Sau khi nhận được bài viết về cách thức khai thác lỗ hổng, nhóm bảo mật của Apple phủ nhận lỗ hổng này có thể sử dụng để chiếm quyền tài khoản iCloud. Họ cho rằng, cách thức này chỉ có tác dụng với những iCloud gắn liền với các iPhone, iPad không sử dụng lớp bảo vệ bằng mật khẩu hoặc mật mă.
Email của Apple cho biết, cách thức tấn công này chỉ có tác dụng với iCloud gắn trên các iPhone, iPad và máy Mac không có mật khẩu bảo vệ.
Laxman phản đối lập luận của Apple. Anh cho rằng với việc có cùng giới hạn thử sai trên máy chủ, nên cho dù thiết bị Apple có sử dụng mật khẩu hoặc mật mă hoặc thậm chí cả bảo mật xác thực 2 lớp, nó vẫn có thể bị qua mặt nhờ cách thức ḍ mă kể trên.
Giả thuyết về cách thức bảo mật của Apple
Nhưng Apple vẫn khăng khăng với lập luận của ḿnh. Trong cuộc gọi cho Laxman, Apple giải thích rằng, máy chủ của công ty không gửi mă số xác thực đến cho thiết bị và rằng quá tŕnh xác thực được diễn ra ngay trên thiết bị. Cho dù Apple không giải thích chi tiết, nhưng bằng một số công cụ như checkra1n và SSL Kill Switch, Laxman xác nhận một phần các tuyên bố của công ty.
Theo Laxman, dường như Apple dùng giao thức SRP để xác thực người dùng mà không phải gửi trực tiếp mă số xác thực đến cho thiết bị.
Theo giao thức này, khi có yêu cầu xác thực, máy chủ Apple chỉ gửi một thông số ngẫu nhiên (được gọi là salt) đến thiết bị. Thiết bị sẽ dùng số salt này để tính toán ra mă khóa dựa trên công thức có sẵn. Máy chủ Apple cũng dùng số salt này, kết hợp với một mă xác minh khác để tính toán theo công thức tương tự như trên thiết bị. Nếu cả máy chủ và thiết bị cho ra cùng kết quả th́ quá tŕnh đăng nhập mới diễn ra.
V́ vậy, Apple tự tin rằng, cách duy nhất để ḍ được mă xác thực iCloud là phải mở khóa được iPhone hoặc iPad gắn liền với nó, nhưng điều này là không thể do giới hạn về số lần thử sai trên thiết bị.
Tuy nhiên, Laxman cho rằng, cách làm của ḿnh là nhắm đến điểm yếu khi máy chủ Apple cho phép nhận cùng lúc hàng loạt truy vấn mă xác thực từ một tài khoản iCloud, không phải cách tấn công vét cạn mă số xác thực tài khoản.
Để chứng minh lập luận của ḿnh, Laxman quyết định thử nghiệm bằng cách tấn công reset mật khẩu của một iPhone bất kỳ. Sau lần nhập thử mă xác thực đầu tiên, anh chặn bắt được dữ liệu (bao gồm số salt và mă xác thực) gửi từ máy chủ Apple đến thiết bị.
Tuy nhiên, anh kinh ngạc phát hiện ra rằng, điểm yếu này đă bị bít lại. Trong số 30 truy vấn được anh gửi cùng lúc đến thiết bị Apple, chỉ một truy vấn được tiếp nhận và 29 truy vấn c̣n lại bị từ chối. Điều này nghĩa là cách thức tấn công của anh đă không c̣n dùng được nữa.
Theo Laxman, nếu xét đến việc lỗ hổng này xuất hiện trong các lớp bảo mật của Apple mà anh đă từng thử nghiệm trước đây, bao gồm xác thực SMS, mă xác thực email, xác thực hai lớp, xác thực mật khẩu, rất khó có khả năng nó không xuất hiện trên thiết bị của Apple, cũng như nó đă được vá lại trước khi báo cáo của Laxman được gửi tới công ty.
C̣n nếu quả thật Apple đă âm thầm vá lại lỗ hổng đó sau khi Laxman báo cáo về nó, nghĩa là lỗ hổng này c̣n nghiêm trọng hơn nhiều so với suy nghĩ ban đầu của anh. Do đó nếu giả định của anh là đúng, lỗ hổng này không chỉ giúp chiếm được bất kỳ tài khoản iCloud nào mà c̣n cả mă khóa của thiết bị Apple gắn liền với nó. Ngay cả khi cách thực hiện cuộc tấn công này khá phức tạp, lỗ hổng này vẫn cho phép hack bất cứ iPhone/iPad nào dù dùng 4 hay 6 chữ số.
Tuy nhiên giờ đây lỗ hổng này đă được bít lại, việc tấn công bằng truy vấn đồng thời không c̣n hiệu quả nữa, Laxman không có cách nào có thể xác thực tuyên bố của ḿnh được nữa. Hy vọng cuối cùng là lời xác nhận từ Apple nhưng họ cũng không phản hồi lại email của Laxman nữa.
Thất vọng hoàn toàn về cách hành xử của Apple
Mặc dù vậy, Apple vẫn gửi cho Laxman email thông báo tiền thưởng v́ đă phát hiện ra lỗi bảo mật cho công ty. Nhưng nó cũng không làm Laxman thấy đỡ thất vọng hơn về cách hành xử của Apple.
Số tiền thưởng mà Laxman nhận được từ Apple là 18.000 USD. Trong khi đó, trên trang web của Apple, số tiền thưởng cho việc chiếm quyền tài khoản iCloud là 100.000 USD, trích xuất dữ liệu từ một iPhone bị khóa là 250.000 USD. Trong khi đó báo cáo của Laxman liên quan đến cả 2 kịch bản này (trước khi lỗ hổng được vá), nên số tiền thưởng có thể lên tới 350.000 USD.
Thậm chí nếu Laxman chọn cách bán các lỗ hổng này cho các công ty mua lỗ hổng khai thác như Zerodium, số tiền thưởng có khi c̣n lớn hơn nữa. Thế nhưng Laxman đă chọn cách làm có đạo đức hơn, đó là thông báo cho Apple, nhưng hóa ra cách hành xử và tiền thưởng của công ty lại làm anh rất thất vọng. Nó không chỉ không xứng đáng với phát hiện của ḿnh mà c̣n không xứng đáng với công sức làm việc và chờ đợi trong suốt một năm qua.
Chính v́ vậy, Laxman quyết định từ chối khoản tiền thưởng không xứng đáng này và công bố toàn bộ phát hiện của ḿnh mà không chờ đợi phản hồi từ phía Apple nữa.
|
|
Games
