iOS 16 vẫn còn lỗ hổng bảo mật từ 2 năm trước. Ảnh: NextPit. |
Từ năm 2020, Proton VPN đã tiết lộ một lỗ hổng bảo mật trên các thiết bị chạy iOS có thể gây rò rỉ dữ liệu hoặc làm lộ địa chỉ IP của người dùng cho dùng đã dùng mạng riêng ảo (Virtual Private Network, hay còn gọi là VPN).
Thông thường khi sử dụng VPN, các kết nối Internet hiện có sẽ bị ngắt, sau đó thiết lập lại thông qua kết nối VPN có mã hóa. Nhưng iOS lại không ngắt các kết nối đã có từ trước.
Cùng thời điểm Mullvad VPN cũng đưa ra cảnh báo tương tự. Khi đó lỗ hổng xuất hiện trên phiên bản iOS 13.3.1.
Cách đây 2 tháng, nhà nghiên cứu bảo mật Michael Horowitz cho biết lỗ hổng này vẫn còn trên phiên bản iOS 15.6.1.
Bây giờ, các chuyên gia cho biết lỗ hổng bảo mật VPN vẫn còn trên iOS 16, phiên bản hệ điều hành di động mới nhất của Apple.
Cụ thể, công ty bảo mật Mysk đã chứng minh rằng iOS 16 giao tiếp với các dịch vụ phần mềm của Apple bên ngoài kết nối VPN đang hoạt động trên thiết bị.
"Các dịch vụ của Apple không đi qua kết nối VPN bao gồm Health, Maps, Wallet. Tệ hơn, iOS 16 còn làm rò rỉ các yêu cầu DNS", Mysk viết trên Twitter.
Dữ liệu bị rò rỉ không được mã hóa có thể làm lộ địa chỉ IP thực và các thông tin nhạy cảm khác. Người dùng VPN thường là những người có nhu cầu đặc biệt về quyền riêng tư như nhà báo, nhà bất đồng chính kiến và nhà hoạt động chính trị. Nhóm này gặp rủi ro nếu thông tin truy cập Internet của họ bị rò rỉ.
Tệ hơn, tình trạng rò rỉ dữ liệu này vẫn tiếp diễn ngay cả khi bật Lockdown Mode, chế độ được Apple quảng cáo là tăng bảo mật thiết bị cho những nhóm người dùng nhạy cảm.
Proton VPN gợi ý cách "vá víu" tạm thời cho người dùng iOS. Người dùng kết nối với VPN, sau đó bật chế độ máy bay để ngắt tất cả kết nối Internet, rồi tắt chế độ máy bay. Bằng cách này, tất cả các kết nối Internet được thiết lập lại có khả năng sẽ đi qua kết nối VPN.
Tuy nhiên cách này không đảm bảo có tác dụng, Proton VPN lưu ý.