Nhận định, soi kèo Petrolul vs Voluntari, 22h30 ngày 31/7

Felix Krause, một lập trình viên iOS đồng thời cũng là nhà sáng lập Fastlane, đã phát hiện ra rằng các hacker có thể dễ dàng tạo ra những khung thông báo giả mạo để lừa người dùng cung cấp mật khẩu của họ cho bọn chúng.

“Điều này đơn giản đến mức chỉ cần chưa đến 30 dòng code là đã có thể thực hiện được rồi”, Krause chia sẻ trên trang blog của mình. Anh chàng lập trình viên này cũng thử tạo ra một ứng dụng tương tự, để cho tất cả mọi người thấy lỗ hổng bảo mật nghiêm trọng này. Tất nhiên vì lý do đạo đức, Krause đã không công bố mã nguồn của phương pháp đánh cắp mật khẩu Apple ID.

Tại sao phương pháp này hiệu quả?

Hệ điều hành iOS thường xuyên yêu cầu người dùng nhập mật khẩu Apple ID để thực hiện nhiều tác vụ khác nhau. Phổ biến nhất là khi cài đặt bản cập nhật hệ điều hành iOS hoặc trong khi cài đặt các ứng dụng iOS.

Do đó, người dùng hình thành thói quen nhập mật khẩu Apple ID của mình bất cứ khi nào hệ điều hành iOS yêu cầu. Sẽ có một cửa sổ popup hiện ra khi iOS yêu cầu bạn nhập mật khẩu. Tuy nhiên các popup không chỉ hiển thị trên màn hình khóa, màn hình trang chủ mà còn bên trong các ứng dụng. Ví dụ như khi họ muốn truy cập iCloud, Game Center hay thanh toán trong ứng dụng.

Dựa vào đó, các hacker dễ dàng tạo ra một popup giả mạo, được gọi là UIAlertController và trông giống hệt hộp thoại của hệ thống. Người dùng sẽ dễ dàng bị đánh lừa và nhập mật khẩu Apple ID vào hộp thoại này, mà không biết rằng nó sẽ được gửi tới tận tay hacker.

Phương pháp đánh cắp mật khẩu Apple ID mới nguy hiểm, nhưng lại dễ dàng thực hiện

Việc tạo ra một vài dòng code để có thể hiển thị cửa sổ popup giả mạo yêu cầu hệ thống là rất đơn giản. Lập trình viên Felix Krause cho biết anh mất chưa tới 30 dòng code để hoàn thiện, tất cả các lập trình viên iOS đều có thể làm được. Các ứng dụng iOS đều cho phép các lập trình viên thực hiện tùy chỉnh sau khi đã đăng ký.

Mặc dù người dùng có thể tự bảo vệ mình bằng cách kích hoạt tính năng xác thực hai bước (two-factor authentication) trên Apple ID. Nhưng điều đó cũng không đảm bảo 100%. Bởi hacker có thể tạo ra thêm một cửa sổ popup nữa và yêu cầu người dùng nhập luôn cả mã xác thực. Với những người không rành về công nghệ và thiếu cẩn trọng, họ có thể dễ dàng cung cấp mã xác thực mà không biết rằng đó là popup giả mạo.

Ngay cả khi Apple quản lý rất chặt chẽ các ứng dụng của bên thứ ba trên App Store. Việc tùy chỉnh và thêm một vài dòng code vào ứng dụng sau khi đã được Apple cấp phép là điều dễ dàng.

Ví dụ, các hacker có thể sử dụng một công cụ cấu hình từ xa để kích hoạt tính năng mới cho ứng dụng sau khi được Apple cấp phép. Hay sử dụng một trình kích hoạt theo thời gian, với các đoạn mã đặc biệt chỉ khởi chạy sau khi ứng dụng được cấp phép. Tất nhiên Apple có thể phát hiện và khóa tài khoản của các nhà phát triển thực hiện các hành vi này, nhưng có thể lúc đó đã quá muộn.

Làm thế nào để tự bảo vệ mình?

Lập trình viên Felix Krause đã chia sẻ một số mẹo nhỏ để người dùng có thể nhận biết các popup yêu cầu mật khẩu Apple ID giả mạo.

Đầu tiên, bạn có thể thử nhấn nút Home và xem ứng dụng có bị thoát ra hay không. Nếu như ứng dụng thoát ra cùng với cả popup, ứng dụng đó đã được cài mã đánh cắp mật khẩu của bạn.

Nếu như ứng dụng và hộp thoại vẫn hiển thị, thì đó là thông báo của hệ thống iOS. Lý do là vì hộp thoại của hệ thống được chạy trên một tiến trình riêng và không phải của bất kỳ ứng dụng nào, do đó bạn không thể thoát bằng cách ấn nút Home.

Bạn có thể không cần nhập mật khẩu vào cửa sổ popup, thay vào đó bạn có thể bỏ qua và mở Cài đặt ứng dụng theo cách thủ công. Cũng giống như việc bạn không nên bấm trực tiếp vào các đường link trong messenger hay email, mà bạn nên mở trang web một cách thủ công.

Nếu như bạn đã lỡ gõ mật khẩu trong cửa sổ popup, nhưng chưa gửi, ứng dụng vẫn có quyền truy cập vào nội dung của trường mật khẩu. Do đó, hacker vẫn có được mật khẩu dù bạn kịp thời bấm nút Cancel.

Lừa đảo đánh cắp mật khẩu thông qua ứng dụng di động vô cùng nguy hiểm

Ngay cả những người am hiểu về công nghệ cũng có thể dễ dàng dính phải cạm bẫy này. Nguyên nhân là do UI của hệ thống và của ứng dụng chưa được tách biệt, để người dùng dễ dàng nhận ra.

Theo lập trình viên Felix Krause, iOS cần phải tách biệt rõ ràng giữa giao diện hệ thống và các giao diện của ứng dụng. Nhờ đó, người dùng sẽ dễ dàng nhận ra đâu là yêu cầu của hệ thống iOS và đâu là yêu cầu từ ứng dụng của bên thứ 3.

Tất nhiên sự thay đổi này liên quan đến một số vấn đề lập trình rắc rối và bảo mật. Thậm chí ngay cả một số trang web cũng có thể tạo ra những cửa sổ popup với giao diện giống như thông báo của hệ thống macOS, khiến nhiều người dùng nghĩ rằng đó là thông báo của hệ điều hành.

Việc siết chặt quản lý ứng dụng, xem xét các đoạn mã cập nhật mới thường xuyên có thể giúp Apple ngăn chặn được phương pháp lừa đảo mới này. Tuy nhiên cho đến nay Apple vẫn chưa có bất kỳ bình luận gì, vì vậy chúng ta phải tự bảo vệ bản thân mình trước bằng cách nâng cao cảnh giác trước những yêu cầu đăng nhập mật khẩu trong ứng dụng một cách đáng ngờ.

Theo GenK

Tuy nhiên, nhiều nụ cười trên mặt của fan đã tắt và khuôn mặt họ chuyển sang cau có khi Apple tuyên bố rằng iPhone X sẽ có giá 999 USD cho bản 64 GB và 1.149 USD cho bản 256 GB. Không thể tin nổi nhưng đó là sự thật, 1.149 USD cho một chiếc smartphone.

Sau sự kiện, khi nói về mức giá iPhone X cộng đồng chia làm hai phe. Một số nhà phân tích và chuyên gia tỏ ra kinh ngạc về mức giá này và họ tin rằng khách hàng của Apple cũng sẽ nghĩ vậy. Những người khác lại nhún vai và cho rằng fan Apple sẽ trả bất cứ giá nào cho chiếc iPhone mới. 

Chúng ta sẽ không biế người tiêu dùng cảm thấy như thế nào về mức giá của iPhone X cho tới khi Apple cung cấp báo cáo tài chính quý thứ nhất và thứ hai của năm tài chính sắp tới. Tuy nhiên, dựa vào một chủ đề thu hút rất nhiều thảo luận trên diễn đàn Reddit chúng ta có thể thấy ngay cả fan Apple cũng không sẵn sàng chi hơn 1.000 USD cho một chiếc iPhone.

Chủ đề được bán tán xôn xao ấy chính là: "Có bao nhiêu người không mua iPhone X vì mức giá quá cao?". Những câu trả lời của người dùng Reddit cho thấy một sự thật đáng lo với Apple. Ngay cả những fan trung thành nhất của Apple cũng e ngại mức giá quá cao của iPhone X. Thậm chí nhiều người đã quyết định không chi khoản tiền lớn như vậy mà thay vào đó họ mua một chiếc iPhone 8 hoặc mua smartphone từ đối thủ của Apple như Samsung.

"Tôi là người dùng iOS từ rất lâu rồi. Thế nhưng tôi vừa đặt hàng một chiếc S8 bởi tôi không cho phép bản thân chi hơn 1.100 USD cho một chiếc điện thoại", một thành viên Reddit nói.

Mức giá iPhone X quá đắt khiến fan chuyển sang mua điện thoại Samsung là một viễn cảnh tồi tệ với Apple. Nhưng may mắn là nhiều người dùng khác vẫn quyết định gắn bó với "Táo khuyết" dù trừ iPhone X các mẫu iPhone khác mà Apple trình làng năm nay đều khá nhàm chán.

"Tôi đã không mua iPhone X và quyết định chọn một chiếc iPhone 8 256 GB cộng với một chiếc Apple Watch Series 3 với số tiền tương đương iPhone X 256 GB", một thành viên khác chia sẻ trên Reddit và câu trả lời của anh nhận được nhiều upvote nhất trong chủ đề này. Những người khách không nói rõ họ sẽ mua chiếc điện thoại nào dù khẳng định không mua iPhone X.

"Tôi nghĩ iPhone X là một chiếc điện thoại hấp dẫn và đương nhiên tôi muốn có một chiếc nhưng với tôi mức giá của nó vượt quá khả năng và những thay đổi của Apple với iOS đang khiến tôi thất vọng", người khác chia sẻ. "Đó là những thứ nhỏ nhặt như tại sao những thông báo vẫn còn tệ vậy, đến iOS 9 còn tốt hơn? Tại sao biểu tượng âm thanh vẫn chiếm nhiều diện tích màn hình đến thế? Tại sao khi tôi nhận được cuộc gọi nó chiếm toàn bộ màn hình và làm gián đoạn mọi thứ tôi đang làm?".

Dự kiến, iPhone X của Apple sẽ được lên kệ vào ngày 3/11 tới. Có thông tin cho rằng iPhone X sẽ khan hiếm trầm trọng trong thời gian đầu. Bất chấp mức giá cao, dự kiến iPhone X vẫn sẽ đắt hàng bởi cho tới quý đầu năm sau Apple mới có thể đáp ứng đủ nhu cầu của khách hàng.

Theo GenK

HBO đã trở thành nạn nhân của một cuộc tấn công mạng lớn. Đây là cuộc tấn công mà theo những kẻ thực hiện, chúng đã lên kế hoạch 6 tháng trước ngày triển khai.

Hậu quả của cuộc tấn công là lời đe dọa của các hacker. Những kẻ này cho biết sẽ đăng tải các tập phim chưa chiếu của series phim truyền hình Game of Throne, Ballers và Barry, cùng với đó là các tài liệu và hồ sơ tài chính có liên quan đến hoạt động nội bộ của HBO.

Việc tấn công vào các công ty truyền thông đã trở thành một xu hướng mới của tội phạm mạng. Đây là những công ty có sự bảo mật yếu ớt và sở hữu những khoản thanh toán lớn. Bên cạnh đó, các hacker nhìn thấy giá trị khủng khiếp của các chương trình truyền hình và biết rằng, nạn nhân của chúng sẽ chấp nhận đàm phán để đảm bảo việc chúng không bị rò rỉ.

Hồi thứ hai đầu tuần, các tin tặc đã đăng một đoạn scripts về một tập mới của Game of Throne. Cùng với hành động này là lời đe dọa: “Hãy trả tiền hoặc nếu không, nhiều bí mật sẽ bị tiết lộ”.

Một trong số những bí mật này là danh sách liên lạc của Chủ tịch kiêm CEO HBO, ông Richard Plepper. Tuy nhiên sau đó, một cuộc điều tra đã chỉ ra rằng các tài liệu này có thể chỉ là giả mạo.

Tập tin “Richard Contact List.txt” có địa chỉ email của hàng ngàn nhân viên HBO và Time Warner đã bị sửa tên gọi. Tên gọi ban đầu của tập tin này là “Viviane Contact List”. Thông tin về các địa chỉ mail trong đó là có thật, nhưng có vẻ như đó không phải là danh sách liên lạc của Richard Plepper giống như lời đe dọa. Điều này dẫn đến sự nghi ngờ về những dữ liệu mà các hacker đang sở hữu trong tay.

Trước những thông tin bất lợi này, HBO đã từ chối đưa ra lời bình luận. Bên cạnh đó, công ty này cho biết không có lý do để tin rằng hệ thống email của HBO đã bị tổn hại. HBO cũng cho biết, các cuộc điều tra đang được tiến hành bởi các công ty an ninh mạng.

Tuấn Nghĩa - Lê Hường - Phạm Văn Thường (Theo CNET)

CIA đã cài cắm một chương trình firmware tùy biến có tên gọi "Cherry Blossom" vào router của mục tiêu để theo dõi mọi hoạt động trên Internet của người dùng. Ảnh minh họa: PCPER

Về cơ chế hoạt động, router nhận dữ liệu Internet từ một modem và mỗi router sẽ có một địa chỉ IP công khai duy nhất trên Internet. Các máy chủ trên mạng Internet sẽ kết nối với router thông qua modem và thiết bị này có nhiệm vụ định tuyến lưu lượng truy cập đến các thiết bị khác trong mạng. Do đó, nếu hacker có thể chiếm quyền kiểm soát router của ai đó, hắn sẽ có một cánh cửa sổ để theo dõi mọi thứ đối tượng đang làm trên mạng trực tuyến.

Theo các tài liệu mới của WikiLeaks, CIA đã phát triển và duy trì một kho công cụ chuyên chiếm quyền kiểm soát các router. Cơ quan tình báo này đã sử dụng một chương trình có tên gọi "Cherry Blossom" (Hoa anh đào), khai thác bản tùy biến của một hệ điều hành dành riêng cho router (firmware) để biến thiết bị này thành công cụ theo dõi.

Sau khi xâm nhập thành công, Cherry Blossom cho phép một điệp viên theo dõi lưu lượng Internet của mục tiêu từ xa, rà quét các thông tin hữu ích như mật khẩu và thậm chí tái điều hướng mục tiêu tới một trang web mong muốn.

Tài liệu mô tả các phiên bản khác nhau của Cherry Blossom, với mỗi phiên bản được điều chỉnh cho phù hợp với từng thương hiệu và mẫu router nhất định. Tốc độ cập nhật phần cứng dường như đã khiến Cherry Blossom khó tấn công mọi mẫu router có trên thị trường, song theo Wikileaks, firmware này có thể xâm nhập gần 25 loại router khác nhau, phổ biến nhất do 10 hãng (Asus, Belkin, Buffalo, Dell, DLink, Linksys, Motorola, Netgear, Senao và US Robotics) sản xuất.

Về cách thức cài cắm Cherry Blossom vào router mục tiêu, CIA sẽ "dùng công cụ Claymore hoặc thông qua hoạt động chuỗi cung ứng". Trong đó, "hoạt động chuỗi cung ứng" nhiều khả năng ám chỉ việc cơ quan tình báo Mỹ xâm nhập vào thiết bị không dây ở khâu nào đó giữa nhà máy và người mua router, một thủ thuật phổ biến trong các hoạt động gián điệp. Tài liệu không nói rõ "công cụ Claymore" ở đây là gì.

Tài liệu rò rỉ đề năm 2012, nên hiện người ta chưa rõ các firmware theo dõi của CIA đã phát triển ra sao trong 5 năm vừa qua. Hiện cũng chưa rõ phạm vi sử dụng của Cherry Blossom rộng tới đâu, dù tài liệu thường mô tả việc CIA dùng các firmware này tấn công các router nhất định, thay vì theo dõi thiết bị định tuyến của số đông người dùng.

Giới quan sát hiện có lí do để tin rằng Cơ quan tình báo quốc gia Mỹ (NSA) từng sử dụng các thủ đoạn tương tự. Năm 2015, tờ The Intercept đã cho công bố các tài liệu mà "người thổi còi" Edward Snowden đánh cắp được, trong đó đề cập chi tiết cách Sở Chỉ huy thông tin của Chính phủ Anh (GCHQ) khai thác các lỗ hổng ở 13 mẫu tường lửa Juniper để nghe lén người dùng.

Tuấn Anh - Phạm Việt - Văn Thường (Theo The Verge, Slashdot)