Cảnh báo: Xác thực 2 yếu tố của Apple "gần như vô dụng"

Apple lên tiếng phủ nhận trách nhiệm trong vụ scandal ảnh nóng của các sao nữ Hollywood, nhưng theo biên tập viên của TUAW, bất kì ai cũng có thể thấy rằng mức độ bảo mật của dịch vụ Apple so với Google hay Microsoft là rất kém. Ngay cả tính năng xác thực 2 yếu tố trên iCloud cũng gần như vô dụng.

Xác thực 2 yếu tố (2-Factor Verification, đôi khi còn gọi là xác minh 2 bước) có một ý nghĩa đặc biệt trong thời đại tên tài khoản và mật khẩu đang rò rỉ hàng loạt như hiện nay: giúp bạn tránh bị mất thông tin nhạy cảm ngay cả khi đã bị lộ các thông tin đăng nhập. Kể cả trong trường hợp hacker đã thu thập được địa chỉ email và mật khẩu của bạn, xác thực 2 yếu tố sẽ buộc kẻ gian phải nắm trong tay thiết bị (smartphone hay token) của bạn để có thể truy cập tài khoản đã ăn cắp được.

Bởi vậy, đây sẽ là một tính năng bảo mật quan trọng giúp người dùng tránh bị lộ danh bạ, các văn bản tài liệu quan trọng và thậm chí là cả bức ảnh… nhạy cảm như các ngôi sao trong giới giải trí Mỹ Jennifer Lawrence hay Kate Upton gần đây. Khi các vụ rò rỉ mật khẩu diện rộng liên tiếp xảy ra với các chuỗi bán lẻ và các công ty phần mềm như Adobe, và trong bối cảnh người dùng vẫn không chịu từ bỏ thói quen dùng chung 1 mật khẩu trên tất cả các tài khoản, xác thực 2 yếu tố là một tính năng bảo mật vô cùng cần thiết.

Facebook, Google và nhiều dịch vụ mạng khác đã tìm mọi cách khuyến cáo người dùng thực hiện cài đặt hình thức bảo mật này. Nhưng, với người dùng các thiết bị Apple, xác thực 2 yếu tố là một tính năng vô dụng. Ngay cả khi bạn đã bật xác thực 2 yếu tố trên iCloud, dịch vụ đám mây này vẫn sẽ để lộ thông tin một cách dễ dàng.

Biên tập viên Michael Rose của TUAW.com đã thực hiện một thí nghiệm vô cùng đơn giản để kiểm chứng độ an toàn của tài khoản iCloud đã được cài đặt xác thực 2 yếu tố. Đầu tiên, biên tập viên này đã thử cài đặt ứng dụng iCloud Control Panel lên một phiên bản Windows vừa mới cài đặt.

iCloud Control Panel nền Windows

Sau đó, anh đăng nhập vào iCloud Control Panel với tài khoản của mình và bật tính năng đồng bộ hóa bookmark cùng các bức ảnh. Chỉ trong vòng vài phút, iCloud Control Panel đã tải về đầy đủ các bức ảnh Rose lưu trên iCloud về chiếc máy tính Windows "lạ" mà anh đang sử dụng. Xác thực 2 yếu tố trên iCloud/Apple ID trong trường hợp này hoàn toàn không có tác dụng gì cả.

"Tôi bật tài khoản email iCloud của mình và đợi cảnh báo 'Tài khoản của bạn vừa được truy cập từ một máy tính mới' quen thuộc… Song cảnh báo này đã không bao giờ xuất hiện cả".

Nếu bạn cảm thấy khó hiểu, hãy cùng nhớ lại rằng xác thực 2 yếu tố chỉ có tác dụng bảo vệ khi người dùng đã để mất tên tài khoản và mật khẩu của mình. Khi Rose rõ ràng đã đăng nhập từ một thiết bị lạ, lẽ ra iCloud đã phải yêu cầu anh nhập thêm một mã xác thực được gửi tới một địa chỉ email/một số điện thoại phòng bị của xác thực 2 yếu tố.

Xác thực 2 yếu tố trên Google

Điều này có nghĩa rằng để tấn công vào tài khoản iCloud của bạn, hacker chỉ cần tìm cách đoán được mật khẩu. Khi kẻ gian đã tìm ra được mật khẩu iCloud của bạn (do rò rỉ từ 1 dịch vụ khác hoặc do tấn công bruteforce), chúng có thể thoải mái đăng nhập và lấy thông tin của bạn. Bạn sẽ không hề hay biết có ai đó đã đăng nhập vào tài khoản của bạn từ một máy tính lạ, bởi Apple thậm chí còn không thèm thông báo cho bạn lấy 1 lần.

Đó là một điều cực kỳ ngớ ngẩn, bởi mục đích duy nhất của xác thực 2 yếu tố là chống lại các lượt đăng nhập từ các máy tính "lạ" do các hacker thực hiện.

Hiện tại, Apple chỉ yêu cầu bạn phải nhập mã xác thực 2 yếu tố trong các trường hợp sau:

- Đăng nhập vào màn hình quản lý tài khoản Apple id.

- Mua nội dung iTunes, App Store hoặc iBook Store từ một thiết bị lạ.

- Yêu cầu hỗ trợ Apple ID từ Apple.

Trong vụ rò rỉ ảnh nóng vừa qua, Apple lên tiếng tuyên bố chính thức rằng công ty không có lỗi, và rằng các sao bị lộ ảnh là do mật khẩu và tên người dùng đã bị rò rỉ từ trước. Tuyên bố này không hề sai, nhưng rõ ràng nếu tính năng xác thực 2 yếu tố hoạt động đúng theo mong đợi (và được quảng bá đúng mức như Google và Facebook), hacker cũng sẽ không thể làm gì ngay cả khi đã có mật khẩu của nạn nhân. Hơn 100 sao Hollywood đã không rơi vào cảnh "mất mặt" như vậy.

Việc Apple không yêu cầu mã xác thực 2 yếu tố cho các hoạt động có liên quan tới dữ liệu nhạy cảm của người dùng (ví dụ như tải ảnh) là rất đáng chê trách. Một biện pháp bảo vệ dữ liệu rất hiệu quả bỗng dưng trở nên vô dụng trong tay một công ty có tới hàng trăm triệu người dùng. Hiện nay, Apple đang là tên tuổi lớn duy nhất thực hiện xác thực 2 yếu tố một cách bất cẩn như vậy. Hãy thử so sánh iCloud cùng các dịch vụ đám mây khác: mỗi lần bạn cài và đăng nhập vào Dropbox hoặc OneDrive trên máy tính, các dịch vụ này sẽ không cho bạn truy cập bất cứ 1 thông tin nào tren tài khoản trừ khi bạn đã nhập mã xác thực 2 yếu tố.

Rose khẳng định: "Rõ ràng Apple đang cố gắng hết sức để bảo vệ ví tiền của bạn khi thực hiện xác thực 2 yếu tố như hiện nay. Bất cứ điều gì có thể gây ra một khoản phí trên thẻ tín dụng từ một thiết bị iOS đều sẽ khiến bạn phải thực hiện xác thực 2 yếu tố".

Nhưng còn danh dự, an toàn thông tin và quyền riêng tư của bạn thì sao? Từ bài học của loạt sao nữ Hollywood, có lẽ bạn cũng đã nhận ra bài học kinh nghiệm ở đây là "Đừng tin vào Apple!".

Lê Hoàng

Theo Gizmodo