Chương trình Bug Bounty của Apple đã bất lực trong việc phát hiện lỗi trên macOS

04/12/2017 10:20

Hồi đầu tuần, nhà phát triển người Thổ Nhĩ Kỳ Lemi Orhan Ergin đã tweet về một lỗ hổng nghiêm trọng trên macOS High Sierra, cho phép bất cứ ai tiếp cận máy tính của bạn bằng cách đăng nhập với root và không cần mật khẩu.

Apple đã đưa ra một bản vá vào ngày hôm sau.


Theo Wired, những người ủng hộ việc tiết lộ một cách có trách nhiệm đã ngay lập tức lao vào Ergin, gọi tweet của ông là "ngu ngốc", "dại dột" và "hoàn toàn vô trách nhiệm". Việc tiết lộ có trách nhiệm là khi bạn phát hiện ra lỗ hổng, bạn nên cảnh báo với công ty trước và cho họ đủ thời gian để đưa ra một bản vá lỗi trước khi công khai nó.

Mặc kệ việc lạm dụng trên Twitter, Apple dường như đã được cảnh báo về lỗ hổng trước khi Ergin tweet về nó. Trong một bài đăng của Medium, Ergin nói rằng vấn đề này được phát hiện bởi nhân viên tại công ty nơi mà ông làm việc và họ đã tiết lộ cho Apple trước khi công bố nó. Wired đã đề nghị Apple xác thực việc tiết lộ này, nhưng công ty này vẫn chưa đưa ra bình luận gì sau đó.

"Một tuần trước, nhân viên cơ sở hạ tầng nơi mà tôi làm việc đã vấp phải vấn đề này khi cố gắng giúp một trong những đồng nghiệp của tôi khôi phục lại quyền truy cập vào tài khoản quản trị của anh ấy", ông viết. "Nhân viên này nhận thấy vấn đề và sử dụng lỗ hổng để khôi phục lại tài khoản của đồng nghiệp của tôi".

Ergin giải thích rằng các đồng nghiệp của ông đã báo cáo lỗi này với Apple vào ngày 23 tháng 11 và nhận thấy rằng nó đã từng được thảo luận trên Diễn đàn Các nhà phát triển Apple hồi ngày 13 tháng 11. "Có vẻ như vấn đề đã được tiết lộ, nhưng Apple vẫn nhận thức được vấn đề này".

Ergin cũng chưa tweet về lỗ hổng cho đến năm ngày sau đó, vào ngày 28 tháng 11. Bất kể liệu năm ngày đã đủ để xem xét là tiết lộ có trách nhiệm hay chưa, ý định của Ergin khi tweet về nó là có chủ ý. "Vấn đề rất nghiêm trọng. Nó đã được nhắc đến trên diễn đàn và được đưa ra công khai nhiều tuần trước", ông viết trên Medium. "Tôi không có ý định gây hại cho Apple và người dùng Apple. Bằng việc đăng tải tweet, tôi chỉ muốn cảnh báo Apple và nói rằng 'có một vấn đề bảo mật nghiêm trọng trên High Sierra, hãy tìm hiểu và sửa nó đi'".

Sau sự chú ý của công chúng, Apple ngay lập tức đưa ra lời khuyên về cách giải quyết vấn đề, và sẵn sàng một bản vá lỗ hổng trong ngày tiếp theo. Trong khi nó là một tin vui cho người dùng macOS, nó cũng đặt ra câu hỏi liệu Apple có thể làm nhiều hơn để khuyến khích các nhà nghiên cứu bảo mật xem xét các vấn đề trên hệ điều hành Mac.

Việc tiết lộ có trách nhiệm được khuyến khích bởi chương trình được gọi là treo thưởng tìm lỗi (bug bounty), khi các công ty trả cho các nhà nghiên cứu bảo mật nhờ báo cáo những lỗ hổng như vậy. Chúng rất phổ biến trong giới công nghệ và chỉ trong năm 2016, Google đã chi trả 3 triệu USD. Facebook, Tesla, Microsoft và Uber cũng có những chương trình tương tự. Thậm chí ngay cả công ty không phải công nghệ cũng sử dụng chúng: báo cáo về Trạng thái Treo thưởng tìm lỗi của Bugcrowd tiết lộ rằng số lượng doanh nghiệp áp dụng những chương trình như vậy đã tăng lên tới 300% hồi năm ngoái.

Nhưng trong khi Apple chỉ mới có chương trình Treo thưởng tìm lỗi dành cho những người được mời trên iOS, họ không trả tiền cho các lỗi phát hiện trên macOS. Các nhà phê bình gợi ý rằng điều đó nghĩa là các nhà nghiên cứu sẽ ít đi sâu vào các đoạn code của macOS để tìm lỗ hổng hơn. "Chương trình Treo thưởng tìm lỗi chỉ giúp khuyến khích các hacker dành nhiều thời gian tìm kiếm lỗ hổng", Alex Rice, nhà đồng sáng lập và Giám đốc công nghệ của HackerOne nói. "Các khoản tiền thưởng có thể giúp thu hút nhiều sự chú ý từ đông đảo người nghe, nó có nghĩa là bạn sẽ có thêm nhiều người kiểm tra tính bảo mật trên phần mềm của bạn".

Keith Hoodlet, kỹ sư bộ phận Trust and Security của Bugcrowd cũng đồng ý với vấn đề này. "Tôi nghĩ rằng Apple sẽ có lợi hơn nếu có một chương trình Treo thưởng tìm lỗi mở rộng hơn thay vì chỉ ở trên cấu trúc iCloud hoặc iOS", Hoodlet nói. "Các công ty lớn thường nhận thấy một khoản tiết kiệm lớn từ việc sở hữu một chương trình Treo thưởng tìm lỗi, và đó thường là sự tiết kiệm về thời gian".

Mặt khác, giá trị cao của các lỗi của Apple có thể khiến họ trở thành một trường hợp đặc biệt - một báo cáo của Motherboard hồi năm ngoái cho thấy các nhà nghiên cứu có xu hướng bán các lỗ hổng của iOS cho những người trả giá cao nhất vì chúng đáng giá hơn khi đưa cho Apple.

Chắc chắn là Apple đủ giàu có để trả cho các lỗi, vậy tại sao họ không làm điều đó? "Apple có cả một lịch sử về việc đóng chặt cửa khi có liên quan tới việc giải quyết hoặc phản hồi với các báo cáo về lỗ hổng trên hệ thống của họ", Hoodlet nói. "Về mặt lịch sử, Apple không xác nhận cho các nhà kiên cứu về việc họ tìm ra lỗ hổng khi chúng được sửa lỗi, vậy nên đây có thể chỉ là một nét văn hóa của công ty".

Rice cũng lưu ý rằng việc không có một khoản Treo thưởng tìm lỗi không có nghĩa rằng Apple yếu về mặt bảo mật và rằng một chương trình như vậy không phải là điều cần thiết với việc bảo mật. "Các lỗ hổng là không thể tránh khỏi và Apple nên được khen ngợi về phản ứng bảo mật đặc biệt của mình biểu hiện ở việc vấn đề đã được giải quyết chỉ trong một ngày", ông nói thêm.

Kể cả khi không có một chương trình Treo thưởng tìm lỗi, Apple cũng nhận các báo cáo về lỗi thông qua email, và Rice nói rằng điều quan trọng là cần phải có một chương trình tiết lộ lỗ hổng để trao thưởng cho các báo cáo. "Điều này nói với thế giới rằng, 'nếu bạn biết một lỗ hổng, chúng tôi muốn bạn chia sẻ nó để chúng tôi có thể sửa chữa'", Rice nói, "Nó cung cấp một kênh an toàn và bảo mật cho những hacker thân thiện tiết lộ thứ mà họ tìm được, và đảm bảo rằng họ sẽ không phải đối mặt với phản ứng từ một luật sư hoặc cơ quan thực thi pháp luật".

Theo Vnreview
Bài liên quan:
Ý kiến bạn đọc (0)
Tên   Email

Lên đầu trang