Apple treo thưởng 2 triệu USD cho ai hack được iPhone
Apple vừa công bố chương trình tiền thưởng bảo mật trị giá tới 2 triệu USD dành cho bất kỳ hacker hoặc chuyên gia nào có thể tìm ra lỗ hổng nghiêm trọng trên iPhone.
So với nhiều công ty công nghệ, Apple vốn bị xem là khá thận trọng khi trao thưởng cho những người phát hiện lỗ hổng trên iPhone. Tuy nhiên, hãng vừa điều chỉnh mạnh chương trình tiền thưởng lỗi nhằm chủ động tìm và vá những lỗ hổng nghiêm trọng trước khi chúng bị khai thác.
Ngày 10/10 vừa qua, Apple nâng mức thưởng tối đa cho một lỗ hổng trên iPhone lên 2 triệu USD, gấp đôi con số 1 triệu USD trước đó; và mức này có thể tăng lên đến 5 triệu USD nếu lỗ hổng đi kèm các yếu tố bổ sung, chẳng hạn vượt qua “Chế độ khóa bảo mật” (Lockdown Mode).
Để nhận mức tiền thưởng cao nhất, các hacker hoặc nhà nghiên cứu phải phát hiện được lỗ hổng có khả năng đạt được mục tiêu tương tự những chiến dịch phần mềm gián điệp tinh vi.
Bên cạnh khoản thưởng đắt giá nhất, Apple cũng tăng thưởng cho nhiều hạng mục khác như phương pháp vượt Gatekeeper giờ được định giá 100.000 USD, trong khi lỗ hổng cho phép truy cập iCloud trái phép có thể được trả tới 1 triệu USD.
Hãng đồng thời mở rộng phạm vi chương trình, bổ sung thêm các hạng mục như lỗ hổng WebKit và lỗ hổng liên quan kết nối không dây, thể hiện nỗ lực gia tăng mức độ bảo vệ cho hệ sinh thái Apple.
Chương trình săn lỗi của Apple ngày càng hoàn thiện
Trong vòng 5 năm, Apple đã chi hơn 35 triệu USD tiền thưởng cho hơn 800 hacker mũ trắng và nhà nghiên cứu bảo mật thông qua chương trình săn lỗi. Hãng cho biết họ đang nỗ lực biến chương trình này trở nên minh bạch, hấp dẫn và hiệu quả hơn, trong đó có việc rút ngắn thời gian trao thưởng cho các phát hiện hợp lệ.
Theo Apple, một trong những cải tiến đáng chú ý là việc giới thiệu cơ chế mới cho phép các nhà nghiên cứu chứng minh khả năng khai thác lỗ hổng một cách khách quan đối với những hạng mục thưởng lớn như thực thi mã từ xa hay vượt qua cơ chế Minh bạch, Đồng ý và Kiểm soát (TCC). Những báo cáo kèm cơ chế này sẽ được xử lý và trao thưởng nhanh hơn, thậm chí trước khi bản vá chính thức được phát hành.
Động thái này thể hiện sự thay đổi lớn trong cách Apple tiếp cận cộng đồng bảo mật. Trước năm 2020, khi chương trình tiền thưởng lỗi của Apple chính thức ra mắt thì mối quan hệ giữa hãng và các nhà nghiên cứu từng khá căng thẳng, với nhiều lời phàn nàn về việc báo cáo lỗ hổng không được phản hồi.
Giờ đây, Apple đã biến chương trình săn lỗi từ con số 0 trở thành một trong những hệ thống toàn diện và có giá trị cao nhất ngành công nghệ. Hãng cho biết phiên bản nâng cấp của chương trình sẽ chính thức triển khai trong tháng tới, mở rộng thêm nhiều hạng mục và tạo điều kiện tốt hơn cho cộng đồng bảo mật toàn cầu.
Cuộc chiến của Apple với phần mềm gián điệp tinh vi
Trong thông báo mới nhất, cụm từ “các cuộc tấn công phần mềm gián điệp đánh thuê tinh vi” được Apple nhấn mạnh khi đề cập đến khoản thưởng 2 triệu USD, mức cao nhất trong chương trình săn lỗi. Đây không chỉ là lời mời dành cho các chuyên gia bảo mật, mà còn phản ánh nỗ lực không ngừng của Apple trong việc củng cố khả năng phòng vệ của iPhone trước những chiến dịch gián điệp mạng ngày càng nguy hiểm.
Những năm gần đây, các công cụ gián điệp như Pegasus của công ty công nghệ NSO Group (Israel) đã đạt đến mức tinh vi đáng lo ngại. Chúng có thể xâm nhập iPhone mà không cần bất kỳ thao tác nào từ người dùng, khai thác lỗ hổng zero-day để theo dõi tin nhắn, email, ảnh và nhiều dữ liệu nhạy cảm khác. Phiên bản đầu tiên của Pegasus chỉ yêu cầu người dùng nhấp vào một liên kết SMS, nhưng các bản sau đó thậm chí có thể tự cài đặt mà không cần tương tác, khiến mọi biện pháp bảo mật truyền thống trở nên vô hiệu.
Apple trong nhiều năm đã liên tục vá các lỗ hổng bị NSO Group khai thác, song cuộc chiến “mèo vờn chuột” này vẫn chưa có hồi kết. Đến năm 2021, hãng quyết định khởi kiện NSO Group, cáo buộc công ty này “theo dõi và nhắm mục tiêu người dùng Apple” bằng phần mềm gián điệp thương mại.
Khi đó, Craig Federighi, Phó Chủ tịch cấp cao phụ trách phần mềm của Apple, khẳng định: “Thiết bị Apple là phần cứng tiêu dùng an toàn nhất trên thị trường, nhưng các công ty phát triển phần mềm gián điệp do nhà nước bảo trợ lại đe dọa nghiêm trọng đến quyền riêng tư của người dùng”.
Tuy Apple đã rút đơn kiện vào năm 2024 vì lo ngại tiết lộ thông tin bảo mật nhạy cảm, vụ việc vẫn cho thấy cam kết mạnh mẽ của hãng trong cuộc chiến chống phần mềm gián điệp, đồng thời lý giải vì sao Apple sẵn sàng chi hàng triệu USD để vá những lỗ hổng có thể đe dọa an toàn của người dùng iPhone trên toàn cầu.
iPhone 17 được trang bị công cụ bảo mật mới chống phần mềm gián điệp
Bên cạnh việc mở rộng chương trình săn lỗi, Apple cũng tăng cường khả năng phòng vệ của iPhone trước các mối đe dọa mạng ngày càng tinh vi. Trên dòng iPhone 17, hãng giới thiệu tính năng bảo mật mới mang tên “Cơ chế bảo vệ tính toàn vẹn bộ nhớ” (MIE) - được mô tả là “nâng cấp lớn nhất về an toàn bộ nhớ trong lịch sử hệ điều hành dành cho người tiêu dùng”.
Theo Apple, MIE ngăn chặn việc chèn mã độc vào hệ thống bằng cách chỉ cho phép mã đáng tin cậy chạy trong các vùng bộ nhớ được bảo vệ. Phần lớn các phần mềm gián điệp hiện nay thường khai thác lỗ hổng bảo mật bộ nhớ, và MIE được thiết kế để bịt kín điểm yếu này ngay từ gốc. Hãng cho biết tính năng đã được nghiên cứu từ năm 2020 và nay được tích hợp mặc định trên toàn bộ dòng iPhone 17 cũng như iPhone Air.
Trong báo cáo kỹ thuật đi kèm, Apple khẳng định MIE đủ mạnh để khiến việc phát triển công cụ tấn công nhắm vào iPhone 17 trở nên vô cùng tốn kém và phức tạp. Đại diện hãng tự tin cho rằng, MIE sẽ “phá vỡ nhiều kỹ thuật khai thác hiệu quả nhất trong suốt 25 năm qua, định nghĩa lại hoàn toàn khái niệm bảo mật bộ nhớ trên thiết bị di động”.
Kết hợp giữa tính năng bảo mật phần cứng mới và chương trình thưởng lỗi mở rộng, Apple cho thấy họ đang từng bước củng cố vị thế của iPhone như một trong những thiết bị di động an toàn nhất thế giới./.