Hacker có thể dễ dàng có được Apple ID của bạn chỉ bằng cách... hỏi

11/10/2017 2:46Phản hồi: 223
Hacker có thể dễ dàng có được Apple ID của bạn chỉ bằng cách... hỏi
iOS thường rất hay hỏi mật khẩu người dùng bằng cách hiện lên một pop-up yêu cầu người dùng điền tài khoản vào khi tải ứng dụng, cập nhật hệ điều hành, hoặc nó cũng có thể xuất hiện ngẫu nhiên tuỳ vào app nào đang chạy ngầm. Nó tạo cho chúng ta một thói quen điền vào khi được hỏi và thường thì chúng ta sẽ điền vào vô điều kiện vì nghĩ nó rất an toàn nhưng mới đây đã có một cảnh báo về vấn đề này.

Nhà phát triển ứng dụng iOS có thể dễ dàng tạo một khung pop-up giả để hỏi mật khẩu, tương tự như cái của hệ thống Apple ID bằng cách sử dụng UIAlertController. Từ đó, ứng dụng có thể gửi popup đó lên thông báo người dùng và sau đó đăng nhập Apple ID và mật khẩu của bạn. Cách này chỉ tốn ít hơn 30 dòng code và dường như có thể đưa vào trong bất kỳ ứng dụng iOS nào.
phising.jpg phising_2.jpg

Vậy làm thế nào để đề phòng:
  • Khi gặp pop-up hỏi mật khẩu như thế này, hãy bấm nút home. Nếu popup là " giả" thì nó sẽ thoát ra cùng với ứng dụng. Nếu home không phản hồi thì đây là của hệ thống vì nó sử dụng một tiến trình độc lập.
  • Hạn chế nhập thông tin trực tiếp vào pop-up, bỏ qua nó và thay vào đó hãy vào Settings một cách thủ công.
  • Lưu ý rằng khi chúng ta ấn Cancel, hộp thoại này vẫn có thể có được mật khẩu của bạn bằng các xâm nhập vào khu vực mật khẩu, hãy cẩn thận xoá các ký tự trong ô input trước khi bấm Cancel.
  • Sử dụng bảo mật 2 lớp để đề phòng lộ mật khẩu, mình vẫn khuyên anh em nên dùng bảo mật 2 lớp cho mọi tài khoản của mình, hơi phiền một tí nhưng rất an toàn.
  • Khi nhận được thông báo như hình bên dưới, hãy vào iCloud để nhập mật khẩu chứ đừng nhập trực tiếp vào thì sẽ an toàn hơn. phising_3.jpg
Theo: Felix Krause
223 bình luận
Chia sẻ

Xu hướng

Mình cứ tưởng IOS rất bảo mật
@xuantuyendt vậy giải thích cho ae nào chưa biết zùm tôi đi bạn. tôi chỉ hiểu 1 phần rễ hiểu như vậy thôi.
@lengochai8392 Lên Google và tra đi nhé. Mở và đóng chỉ là 2 khái niệm liên quan đến code của app mà thôi. Đối với mã đóng thì người viết sẽ có quyền không chia sẻ mã nguồn cho bất kỳ ai. Phần mềm của họ hoạt động ra sao chỉ có họ mới biết được còn người khác chỉ biết được bề nổi của nó mà thôi. Đối với mã nguồn mở thì người viết sẽ phải công khai chia sẻ toàn bộ hoặc một phần code của app theo tinh thần của mã nguồn mở. Người viết khác có thể sử dụng mã nguồn đó để phát triển thêm các tính năng khác hoặc chỉnh sửa cho phù hợp với mục đích của họ và những gì họ dụng của người khác cũng phải theo tinh thần của cộng đồng mã nguồn mở. Họ có thể công khai toàn bộ hoặc một phần mã do họ viết nhưng phải công khai toàn bộ những gì họ mượn từ người khác và phải có ghi chú về tác giả để tôn trọng bản quyền của người khác. Người dùng họ cũng có thể xem mã nguồn của một app để biết app đó hoạt động ra sao, làm gì với dữ liệu của mình, từ đó họ có thể quyết định xem có nên dùng app của tác giả đó hay không. Và những gì mà phần mềm mở công khai cũng chỉ là các mã code thực thi của app chứ hoàn toàn không liên quan đến dữ liệu mà nó xử lý. VD: 1 phần mềm xử lý ảnh mã nguồn mở thì người khác có thể biết được cái phần mềm đó xử lý ảnh như thế nào, nó thực thi trên máy của người dùng hay nó dùng máy chủ trên cloud để xử lý, hay nó có bí mật gửi lên một máy chủ theo dõi không... Nhưng nó không thể cho biết là nội dung cái ảnh mà người dùng sẽ dùng nó để xử lý, trong mã nguồn mở cũng không thể nói được là sau này người dùng nó sẽ xử lý bao nhiêu cái ảnh được. Đối với các phần mềm có liên quan đến dữ liệu nhạy cảm của người dùng cũng vậy. Người ta có thể công bố một phần mã nguồn và trong mã nguồn đó có thể cho biết nó sẽ lưu trữ những loại dữ liệu gì, nó hỗ trợ những công nghệ xác thực danh tính nào hay nó có tắt hoàn toàn sau khi thoát không... nhưng cơ chế mã hóa dữ liệu như thế nào và nội dung trong dữ liệu mà nó lưu trữ... người khác hoàn toàn không thể biết được và mã nguồn cũng không thể hiện được những cái đó.

Túm lại mã nguồn mở thì người khác sẽ hiểu được phần nào về cái cách mà ứng dụng sẽ thực thi còn mà nguồn đóng thì người dùng hoàn toàn mù tịt về thông tin đó. Nếu phần mềm mã nguồn đóng được viết bởi một người không có tâm lén cho vào đó những đoạn mã thực thi ngầm tải dữ liệu của người dùng về một máy chủ theo dõi thì người dùng có nguy cơ bị đánh cắp dữ liệu khi sử dụng ứng dụng đó vì không thể biết được bên trong phần mềm đó chạy như thế nào. Như vậy, không thể nói phần mềm mã nguồn mở kém bảo mật được và phần mềm mã nguồn đóng chưa chắc đã tốt hơn phần mềm mã nguồn mở.

Sơ sơ vậy thôi, muốn tìm hiểu thì cứ lên mạng mà tra cứu, kiến thức trên đó cũng là mở đó. 😁
mcjambi
ĐẠI BÀNG
6 năm
@minhdungnguyen Cái tưởng của bạn quá đúng ! Nhưng mất máy coi như không phải lỗi bảo mật của IOS nha !
vuquan2008
ĐẠI BÀNG
6 năm
@minhdungnguyen Đóng - Mở!
Bảo mật!

Android vs. iOS, Đóng vs. Mở là mức độ cho phép tùy biến, cho phép can thiệp/giao tiếp giữa ứng dụng của nhà phát triển và hệ điều hành. Rồi vấn đề bản quyền media, nội dung số...v...v... Android thì để người dùng tự quyết định nhiều hơn còn ông Apple thì khóa chặt người dùng để còn kiếm lời cả đống tiền trên đó.

Còn bảo mật, có 2 thứ quan trọng:
1 là người dùng. Mật khẩu đặt cho dễ nhớ, gõ nhanh thì bảo mật sao? Đã ẩu thì có lắp khóa xịn mấy vẫn mất xe.
2 là việc bảo mật có thật sự quan trọng với người dùng hay không?

Với người coi trọng việc bảo mật thì dùng Android vẫn cứ bảo mật tốt vì họ biết dùng mật khẩu phức hợp, nhiều lớp và không tùy tiện đưa người khác, không tùy tiện dùng ứng dụng linh tinh.

Với người không thấy cần thiết thì bảo mật trở nên rắc rối, phiền hà, chả mang lại điều gì, có chăng là để tán cho vui! Ví như cái pass truy cập máy iOS, trẻ con lớ ngớ nghịch quá 5 lần là máy lock. Mà đã người dùng lớ ngớ thì sao mà biết backup với restore? Data vậy là mất tiêu!
Mua iPhone về thì mang ra tiệm nhờ cài đặt. iCloud là cái quái gì chả biết, ông chủ tiệm tự dùng account của họ hoặc tạo cho chủ máy 1 cái, vài lời dặn dò. Vài tháng sau nghịch ngợm trên máy, Apple giở chứng đòi iCloud mới cho dùng tiếp. iCloud của mình là cái quái gì chẳng nhớ, ra tìm lại ông chủ tiệm thì ổng cũng chẳng nhớ luôn hoặc ổng đã dẹp tiệm từ lâu. Nào! Bảo cái vỡ mật!

Mà các bạn nhìn đi, quá nửa người dùng Apple thích và mua dùng sản phẩm của Apple vì đẹp, sexy, bền, thời trang. Mà mấy thứ này chả liên quan đến trình độ công nghệ gì hết. Vậy mấy người này bảo mật cái gì nghiêm trọng thế?

Các bạn cứ chờ 1- 2 năm nữa, đến iOS version 20, thì mỗi người dùng iPhone/iPad sẽ phải có 1 khóa token đeo vào chùm chìa khóa (ai quản trị Server hoặc đã dùng tài khoản của HSBC thì biết cái này nhỉ). Khi mở máy, nhập passcode, quét mống mắt, khuôn mặt xong thì còn phải nhập cái key do cái token kia sinh ra cùng thời điểm vào máy nữa thì mới dùng được nhé. ;);)😁:D
vubang
TÍCH CỰC
6 năm
Nhiều lúc chết dở với 2 lớp. Nhất là nhà mạng chặn tin nhắn.
@Lê Phú Khương Cái này có lâu rồi, giống như cách mà Facebook và Yahoo Mail vẫn đang dùng. Bạn vào https://myaccount.google.com/ sau đó click vào Signing in to Google > 2-Step Verification > chọn Google prompt.
lightness
ĐẠI BÀNG
6 năm
@Lê Phú Khương Nè bạn. Nó gọi là Google promt
Screen Shot 2017-10-11 at 6.28.23 PM.png
@vubang Nó có tuỳ chọn gửi tới máy mà bác
@TTaokhuyet Xài authenticator 1 phần mềm của google nếu bạn xài gmail hay của microsoft nếu bạn xài hotmail hay live.com. đăng nhập xg mở phần mềm lên nó sẽ tạo mã cho bạn thay vì xài mã dc gửi về sim. Mã đó có gt khoảng 50giay. Lần đăng nhập sau phải mở pm tạo mã khác. Cách này khg cần mạng d đ
Chịu khó xài vài lần là quen và bảo mật nữa
vubang
TÍCH CỰC
6 năm
Vô lý nhất vào được iCloud trên PC rồi khi chọn tiếp tìm phone lại bắt nhập pass lần nữa.
@vubang Ko nhập thì lỡ thằng bạn nó mượn máy, nó tắt chức năng tìm thì sao? hay thím để máy quên lock màn hình, người khác vào tắt Find My iPhone thì sao??
Duovo
ĐẠI BÀNG
6 năm
@vubang lỡ bạn đăng nhập vào PC nhưng bạn làm j đó và bỏ máy ở đấy. Người nào đến dùng máy bạn và tìm iphone nếu ko apple ko đòi mk thì sao?
@vubang két sắt nhà không cần khóa vì nhà đã khóa cửa rồi
MiTH NG
ĐẠI BÀNG
6 năm
Sao mà nó biết được Apple ID của mình được nhỉ ?
@finalmagic Thế sao cái ứng dụng uber đã cấm API quay màn hình nó vẫn quay trộm dc
@NMTfromVNM thấy cái pop up nó kêu nhập appleID vào không
goldenstar
TÍCH CỰC
6 năm
@finalmagic Apple cấm, nhưng đây là Popup giả mạo, không có chức năng đăng nhập account gì hết mà chỉ đơn giản như cái form kêu bạn điền User và Password vào, hiểu chưa.
@goldenstar chỉ có nhập pass thôi. đâu có ID(User)???
Muôn vàn kiểu hack ;(
@THÀNH ĐẠT SLHB Hđh lởm, đành câm nín thôi 😃
kentkent95
ĐẠI BÀNG
6 năm
@Hoang_HaoMinh😃 cách suy nghĩ dỏm hơn cả HĐH
kokuchi
TÍCH CỰC
6 năm
@kentkent95 Con seeder điển hình cmt ngu mụi vì tiền mà bác quote nó chi
Vịt 2019
TÍCH CỰC
6 năm
iOS nó còn hiện lên cho nhập rồi mới lấy, Android nó chơi nguyên cụm, chả cần hiện 😁
qloved
CAO CẤP
6 năm
@Vịt 2019 Thông tin ở đâu vậy bạn, hay auto chém
canhnv3
ĐẠI BÀNG
6 năm
@Vịt 2019 Cố tỏ ra nguy hiểm :D
@Vịt 2019 Thằng này ko biết gì mà tỏ ra hay lắm nhỉ
@Vịt 2019 thánh này thì cứ mặc định ở đâu có android, samung là bay vào anti thôi,k cần biết đúng sai, đúng thì mặc định là sai, còn sai thì càng sai hơn :D
babydown
TÍCH CỰC
6 năm
@Vịt 2019 Tốt nhất là "bỏ qua" thằng sheeple tỏ vẻ nguy hiểm này đi
Thật chết rồi. Đã để cho nhóc con cái mật khẩu để tự tải app trên Ipad.
@Gấu Nước Bạn Tìm Nó Ngay Và vả Vào Mặt nó mấy cái hỏi lớn:"Thằng lấy nick Icloud của tau là thằng nào!??! 😁"
lukyluke
TÍCH CỰC
6 năm
Một nguyên tắc là không bao giờ cài App bằng cách nhấn vào link mà tìm kiếm trực tiếp trên app store.
Đang ở trong app nào đó mà thấy hỏi ID là biết liền
Yasuko
TÍCH CỰC
6 năm
@lukyluke Bấm vào link thì nó cũng mở app store mà bạn 😃
Mua In App Purchase nó bắt nhập pass cũng phải nhập thôi. 😁
@steve_jobs Uh cái này thì đúng rồi
xxTKZ
TÍCH CỰC
6 năm
VÔ LÝ , iOS rất bảo mật và an toàn cơ mà 😁
qloved
CAO CẤP
6 năm
@uochuý1489Quốc Huy Thông tin ở đâu thế bạn, hay auto chém, cái này thực ra là dạng site fishing, gọi là hack chứ thực ra là liên quan đến việc lợi dụng lỗ hổng hành vi của con người hơn là 1 tấn công kĩ thuật. Kĩ thuật bảo mật có xịn đến đâu cũng có lỗ hổng to đùng là con người.
@qloved Bạn giải thích làm gì. Mặc định i cuồng là Android bảo mật kém hơn thế thôi. Thằng trên với vịt con gì đó là 1 nickname.
UtducdotCom
ĐẠI BÀNG
6 năm
@xxTKZ Nó lấy được mật khẩu rồi sao nữa, bảo mật 2 lớp để làm chó gì.. Nói ngu lại thích thể hiện
@xxTKZ Vô lý, đầu bạn có não cơ mà
Dame 89
ĐẠI BÀNG
6 năm
nhìn mãi chẳng biết nó khác ở đâu
qloved
CAO CẤP
6 năm
@Dame 89 Thật ra nó chả khác gì nhau đâu, đấy là control pop up mặc định của Apple làm và bất kì 1 developer nào cũng có thể dùng trong 1 nốt nhạc là làm giả được, ý của báo là không nên nhập pass vào các popup khi dùng app mà không phải do apple làm để tránh bị đánh cắp thông tin. Tương tự site fishing lừa đảo ở trên web thôi.
quantn
ĐẠI BÀNG
6 năm
@Dame 89 Bấm home :

1) Nếu popup ko thoát, vẫn y nguyên, bắt nhập, là của hệ thống.
2) Nếu popup thoát ra màn hình home là zởm, đang lừa !

trong bài có nói mà !
botykpt
TÍCH CỰC
6 năm
ơ đệch, đâu phải khi nào cũng để ý đâu
@botykpt vậy thì bật 2 lớp để bảo vệ cho sự sơ ý của mình néh 😁
bocua
CAO CẤP
6 năm
Hãy luôn luôn bật hai lớp . Nó chả tốn tiền nên mạnh dạn mà bật 😁
taof
ĐẠI BÀNG
6 năm
  • Lưu ý rằng khi chúng ta ấn Cancel, hộp thoại này vẫn có thể có được mật khẩu của bạn bằng các xâm nhập vào khu vực mật khẩu, hãy cẩn thận xoá các ký tự trong ô input trước khi bấm Cancel.
Đọc đoạn dịch này mình đơ 3s. Theo ý hiểu của mình thì phải giải thích là: khi đã gõ mật khẩu mà phát hiện ra popup đó là giả thì hãy xoá mật khẩu đã nhập đi rồi mới bấm Cancel, vì khi bấm Cancel hay Sign in đều có thể đọc mật khẩu từ ô gõ mật khẩu.
@taof Thực ra nếu đấy là popup giả mà nhỡ gõ vào rồi thì cũng chết hết thôi, vì trong lúc gõ nó cũng lưu lại được hết rồi 😁
linhxu.it
ĐẠI BÀNG
6 năm
@taof khi gõ vào rồi thì cần gõ loạn thêm ít từ nữa sau đấy gỡ app luôn.
lelongdung
ĐẠI BÀNG
6 năm
@taof bạn đã mất công xóa mật khẩu đã nhập đi rồi thì tiện tay nhập vô luôn một cơ số mật khẩu giả cho nó chết cha chúng nó đi 😆
tpv1988
TÍCH CỰC
6 năm
Hai dấu '' '' khác nhau
@tpv1988 truy tìm điểm khác nhau à, chắc là sẽ hiện hai p..pupop cho người dùng lựa chọn! đọc kĩ bài , dừng nhìn hình mà phán.
Cứ cho đá xoáy vài bữa ios cập nhật là xong. How about android sờ cu ri ty :p
Hack id làm cái giề?
@Đu Máy Bay chấm com tại nó rảnh...
@Đu Máy Bay chấm com nó hack đổi mật khẩu, rồi khóa ip của bạn và đòi tiền chuộc để mở khóa máy. vậy thôi..😆
thím có XXX j trong máy mới lo..haaaaaaaa
@Đu Máy Bay chấm com vì bạn chỉ dùng app free, bạn không thanh toán nên đâu cần quan tâm cái vụ này. Chỉ cần vài cú quẹt chấm là tài khoản nạn nhân giảm không phanh nhé
nguy hiểm thế nhỉ :v lại còn dễ làm nữa chứ
Sợ vãi, may không dùng iPhone ✓

Xu hướng

Bài mới









  • Chịu trách nhiệm nội dung: Trần Mạnh Hiệp
  • © 2024 Công ty Cổ phần MXH Tinh Tế
  • Địa chỉ: Số 70 Bà Huyện Thanh Quan, P. Võ Thị Sáu, Quận 3, TPHCM
  • Số điện thoại: 02822460095
  • MST: 0313255119
  • Giấy phép thiết lập MXH số 11/GP-BTTTT, Ký ngày: 08/01/2019