Buzz
Tất cả phần mềm đều có lỗ hổng, cho dù bạn đã kiểm tra nó cẩn thận đến đâu. Vậy câu hỏi không phải là làm thế nào để viết mã hoàn hảo, mà là làm thế nào để phản ứng với những sai sót khi bạn phát hiện chúng. Và trong khi Apple đã có được danh tiếng mạnh mẽ về bảo mật, một chuỗi lỗ hổng quan trọng trong macOS và iOS đã làm căng trải lưới an toàn của Apple - và khiến một số nhà nghiên cứu bảo mật và nhà phát triển nghi ngờ liệu vấn đề có phải là hệ thống.
Hãy xem xét việc phát hành hệ điều hành macOS High Sierra của Apple vào cuối tháng 9. Trong vòng mười ngày, công ty đã phải sửa hai lỗi nghiêm trọng. Một ứng dụng của bên thứ ba có thể được sử dụng để đánh cắp thông tin đăng nhập từ khóa chìa khóa, và gợi ý mật khẩu cho các ổ đĩa ảo được mã hóa bằng Hệ thống Tệp Apple hiển thị mật khẩu dưới dạng văn bản thường. Sau đó, vào cuối tháng 11, các nhà nghiên cứu bảo mật công bố công khai rằng bất kỳ ai cũng có thể truy cập root trên một Mac chạy High Sierra chỉ bằng cách nhập từ "root".
Lỗ hổng quá trắng lọng, Apple đã tung ra một bản vá trong vòng một ngày, tốc độ đáng kinh ngạc cho một công ty lớn như vậy.
"Bảo mật là ưu tiên hàng đầu đối với mọi sản phẩm của Apple, và đáng tiếc rằng chúng tôi đã vấp phải với bản phát hành này của macOS," Apple nói trong một tuyên bố gửi đến Mytour sau sự cố ban đầu về lỗi "root" - một lời thú nhận hiếm hoi từ công ty. "Chúng tôi rất lấy làm tiếc về lỗi này và chúng tôi xin lỗi tất cả người dùng Mac, cả về việc phát hành với lỗ hổng này và về sự lo lắng mà nó gây ra. Khách hàng của chúng tôi đáng nhận được hơn thế. Chúng tôi đang kiểm tra lại quy trình phát triển của mình để ngăn chặn điều này tái diễn."
Nhưng sau đó, bản vá lại có lỗi nghiêm trọng riêng của nó, điều không ngạc nhiên khi bạn xem xét thời gian ít ỏi mà công ty có để kiểm tra nó. Và sai sót đó tham gia vào một cuộc diễu hành của những sự cố phần mềm tương tự, không chỉ trong macOS mà còn trên các nền tảng khác của Apple. Trong suốt năm 2017 nói chung, công ty đã phải sửa nhiều lỗi phức tạp, bao gồm hàng chục trong iOS 10 và một bản cập nhật đặc biệt sốc vào tháng 5 ảnh hưởng đến tất cả các hệ điều hành và dịch vụ của công ty, sửa 66 lỗ hổng duy nhất. Một số lỗ hổng đó cho phép thực hiện từ xa; một hacker không cần phải có quyền truy cập vật lý vào các thiết bị để chiếm đoạt chúng.
Ngay sau khi iOS 11 được phát hành vào tháng 9, iPhone bắt đầu tự động sửa lỗi chữ "i" thành "A." Mặc dù không phải là một vấn đề bảo mật, nhưng nó đã thu hút sự chú ý và làm khó chịu cho đa số khách hàng của Apple. Và ngay cả vào tuần trước, Apple đã phát hành một bản vá iOS 11 cho một lỗ hổng HomeKit từ xa không dễ khai thác, nhưng có thể đã cho phép một kẻ tấn công đầy nhiệt huyết chiếm đoạt các thiết bị thông minh quan trọng như khóa cửa.
Theo đánh giá của nhiều tiêu chí, Apple vẫn cung cấp bảo mật tốt hơn so với đối thủ cạnh tranh của mình. Tuy nhiên, các nhà nghiên cứu bảo mật cho rằng sự tăng lên trong số lỗ hổng có thể là dấu hiệu của các vấn đề sâu sắc.
"Theo quan điểm của tôi, mong muốn của Apple là đưa tất cả các nền tảng của mình - iOS, macOS, watchOS và tvOS - vào chu kỳ phát hành hàng năm cùng một lịch trình quản lý quan hệ công chúng, sản phẩm và tiếp thị thân thiện là đang bắt đầu gặp khó khăn," nói Pepijn Bruienne, một kỹ sư nghiên cứu và phát triển tại Duo Security tập trung vào sản phẩm của Apple. "Mặc dù tôi cảm thấy tầm nhìn bảo mật tổng thể của Apple trên tất cả các sản phẩm của mình là tốt nhất trong ngành, nhưng tốc độ này dường như đang tác động tiêu cực đến phần đảm bảo chất lượng của quá trình phát triển phần mềm."
Một số nhà nghiên cứu chỉ ra quá trình kiểm thử đảm bảo chất lượng, đặt giả định rằng nó có thể thiếu nguồn nhân lực hoặc hướng dẫn rõ ràng để thực hiện đánh giá đầy đủ. Chính Apple cũng nói rằng họ đang "kiểm tra lại các quy trình phát triển của mình," điều này có thể ám chỉ một vấn đề về xác nhận và kiểm thử, nhưng cũng có thể nói đến mối quan ngại khác mà các nhà nghiên cứu đã đề xuất gần đây: áp lực để Apple phải phát hành phần mềm được đổi mới mỗi 12 tháng.
"Apple đã gặp vấn đề trước đây, và họ không thể bị kết án vì điều đó vì mọi người đều sẽ gặp phải lỗi sớm hay muộn," nói Thomas Reed, giám đốc Mac và di động tại nhóm theo dõi và phân tích mối đe doạ tại Malwarebytes Labs. "Những gì thực sự bất thường trong tháng trở lại đây chỉ là số lượng lỗi đến nỗi đáng kể. Rõ ràng có điều gì đó đang xảy ra ở đó. Điều này không thể giải thích được như một sự trùng hợp ở điểm này. Và vì nhiều trong số này xuất hiện ở High Sierra và iOS 11, nó khiến bạn tự hỏi liệu họ có gấp gáp phát hành những phiên bản đó vì một lý do nào đó và phát hành chúng quá sớm khi chúng thực sự chưa sẵn sàng cho sự tiêu thụ của công chúng."
Một số quản trị viên Mac lâu năm nhớ về một bản phát hành như OS X 10.6 Snow Leopard của Apple từ năm 2009, một phiên bản cố ý và thấu hiểu của bản phát hành Leopard nổi bật, đầy tính năng năm trước đó. "Snow Leopard là một bản phát hành tốt, ổn định vì Apple thực sự đã dành rất nhiều thời gian để sửa lỗi cho nó," Reed nói. "Họ thực sự cần phải làm điều tương tự ở thời điểm này, vì gần đây mọi bản phát hành đều tập trung rất nhiều vào các tính năng mới. Tôi nghĩ họ cần phải làm chậm lại một chút về tính năng mới và tập trung vào việc sửa lỗi trong bản phát hành tiếp theo."
Những lỗ hổng rõ ràng có thể cũng gây ra ảnh hưởng lan truyền đến bảo mật tổng thể của Apple. Một lý do mà thiết bị của họ vẫn khá an toàn? Người sở hữu iPhone và Mac thường xuyên cài đặt các bản cập nhật đúng hạn, trong khi các thiết bị Android, ví dụ, thường bị bỏ lại. Nhưng quá nhiều lỗi quá thường xuyên có thể khiến mọi người cảm thấy e ngại khi áp dụng các bản cập nhật nhanh chóng, thích chờ đợi trong khi họ đợi xem phần mềm mới có vấn đề được giải quyết trong thị trường.
"Tôi đã ngừng sử dụng phần mềm mới nhất của Apple từ một thời gian. Tôi luôn giữ lại một vài phiên bản cũ và điều đó hoạt động tốt," nói Marin Todorov, một nhà phát triển iOS lâu năm. "Tôi hy vọng các chuông báo đang reo ở trụ sở của Apple, vì họ dường như đang mất kiểm soát về trải nghiệm người dùng và chất lượng phần mềm của họ."
Mặc dù tình hình hiện tại làm phiền những nhà nghiên cứu và quản trị viên tập trung vào Apple, tư cách và quy trình bảo mật của công ty vẫn mạnh mẽ hơn so với hầu hết các công ty công nghệ lớn khác. Và vấn đề gần đây của Apple cũng đã thu hút sự quan tâm chi tiết hơn một phần vì các nhà nghiên cứu đã công bố công khai những lỗ hổng thay vì bí mật báo cáo chúng cho Apple và chờ đợi một bản vá.
"Thường có những vấn đề đáng lo ngại được đề cập trong hầu hết các cập nhật bảo mật, nhưng bây giờ chúng ta thấy mọi người công khai trước khi có bản vá, gây ra một chút hoang mang," nói Will Strafach, một nhà nghiên cứu bảo mật iOS và chủ tịch của Sudo Security Group. "Chắc chắn không phải có nhiều lỗi hơn, chỉ là mọi người chưa bao giờ để ý đến những vấn đề đã được giải quyết so với những vấn đề hiện tại. Cũng có một chút hiệu ứng tích lũy, vì mọi người sẽ nhớ lỗi root trong một thời gian và kết nối nó với những vấn đề mới khi chúng xuất hiện."
Ngay cả nếu nguyên nhân có liên quan nhiều hơn đến việc lỗi nhận được sự chú ý chung, kết quả vẫn có thể là sự ngần ngại cập nhật, điều này sẽ làm tổn thương phương pháp bảo mật tổng thể của Apple. "Các quản trị viên Mac, may mắn thay, đã khá chậm trong việc áp dụng cập nhật, nhưng điều đó đang gửi thông điệp sai vì việc cập nhật quan trọng đối với bảo mật," Reed của Malwarebytes nói. "Tôi phải công nhận Apple, họ đã phản ứng nhanh chóng với những vấn đề này, nhưng tôi nghĩ rằng sự tập trung chủ yếu cần đặt vào tính ổn định tổng thể của hệ thống chứ không phải phải phản ứng với những lỗi này. Điều đó làm nản lòng."
Nếu chu kỳ tiếp theo của Apple không chứa nhiều lỗi cơ bản, vấn đề với High Sierra và iOS 11 có thể giảm như một đợt giật hiểu biết. Tuy nhiên, hiện tại, chúng trông giống như một mô hình.
