Lỗi cũ chưa vá, iOS 16 tiếp tục xuất hiện thêm sự cố nghiêm trọng khác

Hệ điều hành dành cho iPhone phiên bản mới nhất tiếp tục bị phát hiện thêm lỗi bảo mật có thể rò rỉ dữ liệu người dùng chỉ trong vài tháng.

Theo TechRadar, trước đó vào tháng 5, một chuyên gia bảo mật đã tiết lộ rằng các ứng dụng VPN trên iPhone đang làm rò rỉ dữ liệu của người dùng, đồng thời tuyên bố rằng Apple thậm chí không hề “đếm xỉa” tới việc sửa chữa sự cố.

Giờ đây, một vấn đề lớn khác tiếp tục được tìm thấy khi sử dụng phần mềm VPN trên iOS. Trong trường hợp mới nhất này, những thông tin nhạy cảm nhất của mọi người đang thực sự gặp nguy hiểm.

Các ứng dụng của Apple không thích “đi” đường VPN

Một chuyên gia khác gần đây đã phát hiện ra rằng nhiều ứng dụng của Apple, trong đó có cả Health và Wallet, đang gửi dữ liệu riêng tư của người dùng bên ngoài đường hầm VPN đang hoạt động.

Theo đó, nhà nghiên cứu bảo mật Tommy Mysk đã thông báo trên Twitter rằng: “Chúng tôi xác nhận rằng iOS 16 có giao tiếp với các dịch vụ của Apple ngay bên ngoài một đường hầm VPN đang hoạt động. Tệ hơn, nó làm rò rỉ các yêu cầu DNS”.

Lỗi cũ chưa vá, iOS 16 tiếp tục xuất hiện thêm sự cố nghiêm trọng khác - 1
Lỗi cũ chưa vá, iOS 16 tiếp tục xuất hiện thêm sự cố nghiêm trọng khác - 2

Về mặt lý thuyết, khi kết nối với một VPN an toàn, dữ liệu của bạn sẽ được mã hóa và truyền qua một trong các máy chủ quốc tế của dịch vụ đó trước khi đến đích. Điều này có nghĩa là nhà cung cấp mạng (ISP) hay bất kỳ bên thứ ba nào khác đều không thể truy cập vào luồng thông tin này. Tương tự, các trang web bạn truy cập sẽ không thể xác định được địa chỉ IP thực của bạn hoặc bất kỳ chi tiết nhận dạng nào khác.

Mysk đã chạy một vài thử nghiệm trên iOS 16 với Proton VPN và Wireshark. Nhóm của ông đã phát hiện ra rằng nhiều ứng dụng của Apple thực sự đã bỏ qua đường hầm VPN và trao đổi dữ liệu trực tiếp với các máy chủ của Apple.

Tệ hơn, các ứng dụng làm rò rỉ dữ liệu thực sự là những ứng dụng quản lý thông tin nhạy cảm và riêng tư nhất của người dùng. Đó là Health, Wallet, Apple Store, Clips, Files, Find My, Maps và Settings.

Khi nói về sự cố, Myks dường như tin rằng Apple đang cố tình làm như vậy: “Có những dịch vụ trên iPhone yêu cầu liên hệ thường xuyên với các máy chủ của Apple, chẳng hạn như Find My và Push Notifications. Tuy nhiên, tôi không thấy có vấn đề gì khi sử dụng đường hầm của kết nối VPN để thực hiện những kết nối này. Vì lưu lượng truy cập luôn được mã hóa an toàn”.

Không chỉ có VPN trên iOS

Như Mysk xác nhận trong quá trình thử nghiệm, không chỉ riêng những người dùng iPhone và iPad đang “chơi đùa” với quyền riêng tư của họ. Ông xác nhận rằng tình trạng rò rỉ bên ngoài kết nối VPN vẫn xảy ra trên Android, cụ thể là những tính năng Always-on hoặc Block Connections vẫn hoạt động mà không thông qua đường hầm mã hóa.

Gần đây dịch vụ Mullvad VPN đã phát hiện rằng các thiết bị Android đang âm thầm phá hoại các dịch vụ VPN trong lần kiểm tra bảo mật gần đây nhất. Được biết, các VPN của Android tiết lộ dữ liệu của người dùng trong lúc thực hiện kiểm tra kết nối khi truy cập một số mạng Wi-Fi.