Một lỗ hổng bảo mật nghiêm trọng vừa được phát hiện trên ứng dụng Passwords dùng để quản lý mật khẩu được tích hợp trong iOS 18.2.
Theo TechRadar, lỗ hổng khiến người dùng iPhone có nguy cơ trở thành nạn nhân của các cuộc tấn công lừa đảo trong suốt hơn ba tháng qua. Bug liên quan đến cách ứng dụng Passwords xử lý các liên kết mạng và đã được Apple vá lại thông qua bản cập nhật gần đây.
Theo nhóm nghiên cứu bảo mật Mysk, lỗi nằm ở việc ứng dụng Passwords sử dụng giao thức HTTP thay vì HTTPS để tải về biểu tượng trang web. Đây là một lỗ hổng cơ bản nhưng cực kỳ nguy hiểm, bởi HTTP không mã hóa dữ liệu truyền tải. Trong môi trường mạng không an toàn như Wi-Fi công cộng, kẻ tấn công có thể dễ dàng chặn kết nối, thay đổi nội dung truyền đi hoặc chuyển hướng người dùng sang trang web giả mạo có giao diện giống hệt các trang quen thuộc như ngân hàng, email hay mạng xã hội. Khi người dùng nhập thông tin đăng nhập, dữ liệu sẽ lập tức bị đánh cắp.
Mặc dù lỗi chỉ ảnh hưởng đến một phần nhỏ trong quá trình hoạt động của ứng dụng Passwords, hậu quả tiềm ẩn là rất lớn nếu người dùng không cảnh giác. Các thông tin nhạy cảm như tài khoản ngân hàng, mã PIN, địa chỉ email hay mật khẩu cá nhân có thể bị thu thập một cách dễ dàng mà người dùng không hề hay biết.
Apple đã phát hành bản cập nhật iOS 18.2 nhằm sửa lỗi và chuyển toàn bộ truy cập trong ứng dụng Passwords sang giao thức HTTPS an toàn hơn. Tuy nhiên, nhiều thiết bị vẫn chưa cập nhật kịp thời, khiến rủi ro vẫn tồn tại nếu người dùng tiếp tục sử dụng phiên bản cũ.
Vụ việc một lần nữa nhấn mạnh rằng ngay cả những hệ thống được đánh giá là an toàn như iOS cũng có thể mắc sai sót nghiêm trọng trong khâu thiết kế bảo mật. Trong bối cảnh các cuộc tấn công vào trình quản lý mật khẩu đang ngày càng gia tăng, người dùng cần chủ động bảo vệ mình bằng cách thường xuyên cập nhật phần mềm, tránh nhấp vào các liên kết lạ và kiểm tra kỹ địa chỉ trang web trước khi nhập thông tin cá nhân.
