iCloud vẫn bị hack dù có bảo mật 2 bước

Gsm.vn – Bảo mật 2 bước hoặc 2 thành phần (two-factor/two-step authentication) là một thuật ngữ phổ biến ngày nay. Phương pháp này nhằm hạn chế tình trạng dữ liệu của bạn bị hacker đột nhập. Tuy vậy với dịch vụ iCloud đang áp dụng cho các sản phẩm iDevice của Apple, dường như ngần đấy là chưa đủ.

Một ứng dụng có tên Elcomsoft Phone Breaker (EPB) có khả năng vượt qua 2 lớp bảo mật ấy. Và đây rất có thể không chỉ là công cụ duy nhất. Nhưng tại sao nó làm được việc đấy? Trước hết, chúng ta cần hiểu cách làm việc của iCloud.​

Đầu tiên, hacker cần có thông tin tài khoản Apple ID của bạn (tên đăng nhập & mật khẩu). Sau đấy là mã xác thực số (digital token). Mã xác thực ấy thực chất không phải là đoạn mã mà bạn nhập mỗi khi được hỏi. Đoạn mã ấy nằm sẵn trên những thiết bị mà bạn đã chứng thực là đáng tin cậy (trusted) ví như như iPhone, iPad, MacBook… Tất nhiên trong đời sống thật, ngoại trừ bạn bè và người thân trong gia đình ra, chẳng ai khác tiếp cận được với đồ đạc của bạn. Trừ phi hacker là một kẻ trộm hoặc nhân viên chính phủ. Nên nếu chỉ có ID và password, cơ bản hacker vẫn chưa làm gì được nếu hắn không có mã xác thực số. Và có thể nói, đây là phương pháp bảo mật được nhiều hãng công nghệ khác cũng đang áp dụng như Google, Microsoft…​

[​IMG]
[​IMG]
Thế nhưng phiên bản mới nhất của EPB, đoạn mã ấy không quan trọng nữa. Chỉ cần ID và password, chương trình này sẽ tự động tạo ra đoạn mã xác thực trên và… chắc bạn cũng tự hiểu kết quả. Nhưng vì sao EPB làm được? Đó là nhờ năng lực tính toán cực mạnh của các GPU (chip đồ hoạ) hiện nay. Trong khi điện toán di động vẫn còn quá yếu để có thể thực hiện bẻ khoá bằng brute-force, thì điện toán trên PC đã tiến xa và các card đồ hoạ (VGA) còn xa hơn rất nhiều lần. Những chiếc VGA thế hệ mới do AMD và NVIDIA chính là chìa khoá giúp cho các ứng dụng như EPB “trổ tài”.​
Và vì sử dụng brute-force, vấn đề còn lại duy nhất là thời gian và “độ sâu” của thuật toán mã hoá, càng nhiều GPU được dùng thì tốc độ giải mã càng nhanh. Với phiên bản bình dân (Home Edition – 80 USD), EPB chỉ hỗ trợ tối đa 2 CPU và 1 GPU. Trong khi đó phiên bản chuyên nghiệp (Professional – 200 USD) hỗ trợ tới 32 CPU và 8 GPU. Đặc biệt với phiên bản cho chính phủ và toà án (Forensic – 800 USD), chương trình này thậm chí còn không cần biết ID và password vì toà án có thể yêu cầu lấy được máy tính của bị đơn để… dò password!​
[​IMG]
Một hệ thống có tới 8 card đồ hoạ
Vậy làm sao để biết có ai đó đang dùng EPB hack vào tài khoản iCloud của bạn? Theo Elcomsoft (hãng phát triển chương trình), khi có bất kỳ ai truy cập vào các bản backup trên iCloud lần đầu tiên nhưng từ thiết bị không được tin cậy (máy tính của hacker), sẽ có một thông báo được gửi đến thiết bị được bạn tin cậy (iPhone, iPad, MacBook). Vấn đề là bạn có chú ý đến thông báo đó hay không. Và tốt hơn hết, đừng để lộ mật khẩu!​
Thông tin thêm: chương trình của Elcomsoft cũng có khả năng hack vào hệ thống của BlackBerry lẫn Microsoft Live ID.​
Theo Gsm.vn

Học viện FPT Jetking, học viện đào tạo quản trị mạng, bảo mật an ninh mạng và chuyên sâu phần cứng trực thuộc khoa quốc tế Đại học FPT. Nội dung đào tạo từ cơ bản đến chuyên sâu trong 2 năm với các nội dung:  quản trị hạ tầng mạng máy tính cho doanh nghiệp, Cisco CCNA, Linux, an toàn – an ninh hệ thống mạng doanh nghiệp, hacker mũ trắng, lắp ráp máy tính bảng, sửa chữa phần cứng máy tính và điện tử, ảo hóa và điện toán đám mây, tiếng anh giao tiếp Jet Edge, kỹ năng mềm, Yoga.