Hai hôm nay cộng đồng mạng bàn tán rất sôi nổi chuyện sau khi nâng cấp lên iOS 11.4 thì chỉ cần có passcode mở máy là đổi được mật khẩu iCloud rất nguy hiểm. Vậy thực hư chuyện này thế nào, và làm sao để tránh rủi ro xảy ra?
Đầu tiên cần khẳng định lại là không phải đây là một lỗi của iOS 11.4, trên thực tế nó đã xuất hiện trên các bản iOS 11 đầu tiên (mình đã thử nghiệm trên máy mình là 11.0.3 vẫn được) cho nên có thể nói đây là một tính năng chứ không phải là lỗi bảo mật, tuy nhiên về cơ chế hoạt động nó có thể được kẻ gian tận dụng. Vậy cơ chế này thế nào? Mình đã giả định một số trường hợp dưới đây để bạn tiện nắm rõ.
#Trường hợp 1: Máy không khoá passcode, không bật xác thực hai yếu tố
Với trường hợp máy không khoá passcode vào màn hình chính, khi bạn vào mục iCloud để đổi mật khẩu, bảng yêu cầu nhập mật khẩu cũ sẽ hiển thị.
Vấn đề đặt ra: bạn tiến hành đặt passcode cho trường hợp này (vì bạn vào màn hình chính được mà). Rất may mắn, bảng yêu cầu nhập mật khẩu iCloud hiện lên ngay như bên dưới:
# Trường hợp 2: Máy không khoá passcode, có bật xác thực hai yếu tố
Trường hợp máy đang có dùng tính năng bảo mật hai lớp thì lớp này cũng được kích hoạt để gửi tin nhắn xác thực về số điện thoại.
Vấn đề đặt ra: bạn tiến hành đặt passcode cho trường hợp này. Tương tự trường hợp 1, bạn cần nhập mật khẩu iCloud.
#Trường hợp 3: Máy có khoá passcode, không bật tính năng xác thực hai yếu tố
Lúc này khi bạn bấm vào đổi mật khẩu, bảng hiển thị danh sách câu hỏi bảo mật sẽ hiển thị, bạn cần trả lời đúng các câu hỏi hiển thị mới được đổi mật khẩu.
#Trường hợp 4: Máy có khoá passcode, có bật tính năng xác thực hai yếu tố
Lúc này khi nhấn đổi mật khẩu, bạn có thể đổi ngay mật khẩu mới, và cũng không cần xác thực số điện thoại gì hết.
Như các bạn thấy thì nếu rơi vào trường hợp 4, người khác có được passcode của bạn và bạn lại đang bật xác minh hai yếu tố thì hoàn toàn có thể đổi mật khẩu iCloud dễ dàng. Và quan trọng hơn sau khi đổi mật khẩu thành công thì việc thoát iCloud trực tiếp trên máy đó cũng thực hiện được (dĩ nhiên) cho nên máy đó sẽ không còn iCloud.
Tính năng này tồn tại từ iOS 11 trở đi (có thể trước đó nhưng mình không có máy để kiểm chứng), có thể thấy là Apple xem đây là một tính năng chứ không phải lỗi. Apple cho rằng bạn là người sở hữu máy mớ có thể biết Passcode, cho nên việc thay đổi mật khẩu mà có xác minh hai yếu tố là việc bình thường. Tuy nhiên việc hoạt động này vô tình lại rất nguy hiểm. Vì phần lớn người dùng có thói quen đặt passcode rất dễ đoán (gồm 4 số hay 6 số), và trong đó phần lớn đặt những passcode huyền thoại như 123456, 000000, 999999, hay ngày tháng năm sinh của mình hoặc người thân,… Nếu máy bạn rơi vào tay kẻ gian, thông qua mạng xã hội, kẻ gian có thể lợi dụng những thông tin của bạn để dò passcode. Hoặc đơn giản hơn khi bạn đưa máy cho người khác bạn đọc passcode cũng là một sơ hở.
Chính vì rủi ro có thể xảy ra nên bạn cần có giải pháp đề phòng cho mình. Sau khi mình giả định vào bốn trường hợp trên thì mình đưa cho bạn một số giải pháp dưới đây:
Giải pháp 1 (nên làm): Bảo mật passcode tốt hơn, nếu cần thì bạn có thể đặt passcode bằng chữ (Apple có hỗ trợ nhưng lại không ai xài). Đừng đặt passcode dễ nhớ kiểu số tiến hay ngày tháng năm sinh ai đó thân quen mình, đồng thời không chia sẻ passcode cho bất kỳ ai.
Giải pháp 2 (nên làm): Dùng passcode và tắt tính năng xác thực hai bước. Dựa theo các trường hợp trên thì trường hợp này hiện câu hỏi bảo mật để xác thực vẫn có thể nói là an toàn. Việc tắt passcode đi mình lại khuyến nghị không nên làm vì một người bất kỳ có thể vào máy bạn truy cập thoải mái thì không còn gì là bảo mật.
Giải pháp 3: Bật giới hạn riêng tư cho iPhone. Bạn vào Settings (Cài đặt) > General (Cài đặt chung) > Restrictions (Giới hạn) > bật mục Enable Restrictions lên và đặt một passcode – lưu ý passcode này không liên quan đến passcode mở khoá máy, bạn nên đặt khác passcode kia) > Accounts (Tài khoản) > Don't Allow Changes (Không cho phép thay đổi). Khi bật mục này lên thì khi đổi mật khẩu cầu có passcode của phần Restrictions. Tuy nhiên cần nói luôn cho các bạn biết, giải pháp 3 này không an toàn. Lý do là vì người khác có thể dùng phần mềm pinfinder để dò ra passcode này.
Vậy tổng hợp lại là thế nào?
Bật passcode, tắt xác thực hai yếu tố.
Để tắt xác minh hai yếu tố, bạn hãy tham khảo bài viết này.