Mất 600.000 USD trong một giây vì kẽ hở App Store

Phillipe Christodoulou mất niềm tin vào Apple sau khi bị lấy số Bitcoin tương đương 600.000 USD từ một ứng dụng lừa đảo trên App Store.

Phillipe Christodoulou, Giám đốc một công ty giặt là ở New York, muốn kiểm tra tài khoản Bitcoin của mình. Ông đã tìm đến ứng dụng Trezor trên App Store. Ứng dụng được phát triển bởi hãng chuyên sản xuất thiết bị phần cứng lưu trữ tiền ảo. Logo quen thuộc xuất hiện với đánh giá gần 5 sao, Christodoulou tải về và nhập thông tin của ông vào ứng dụng.

Chỉ trong chưa đầy một giây, số tiền tiết kiệm cả đời của Christodoulou trị giá 17,1 Bitcoin, tương đương 600.000 USD, đã biến mất. Ứng dụng ông tải về là giả mạo, được thiết kế để khiến người dùng nghĩ rằng đó là phần mềm chính danh.

Tuy nhiên, Christodoulou tỏ ra giận dữ với Apple hơn là những kẻ trộm vì hãng này luôn quảng cáo App Store là nơi an toàn và đáng tin cậy, trong đó mọi ứng dụng đều được kiểm duyệt trước khi xuất hiện trên hệ thống. Christodoulou từng là khách hàng trung thành của Apple, nhưng sau việc trên, quan điểm của ông đã thay đổi hoàn toàn. “Họ phản bội niềm tin của tôi. Apple không xứng đáng được tha thứ”, ông nói.

Một chiếc ví phần cứng của Trezor. Ảnh: Trezor.

Một chiếc ví phần cứng của Trezor. Ảnh: Trezor.

“Thay ruột” ứng dụng để qua mặt các nhà kiểm duyệt App Store

Apple gọi App Store là “chợ ứng dụng đáng tin cậy nhất thế giới”, trong đó, mọi phần mềm tải lên đều được quét và kiểm tra để bảo đảm an toàn, tiện dụng và độc đáo. Dù vậy, giới chuyên gia cho rằng những kẻ lừa đảo đã tìm ra những kẽ hở trong quy định của hệ thống này. Chúng có thể gửi những ứng dụng vô thưởng vô phạt lên App Store để được xét duyệt, sau đó chuyển thành ứng dụng lừa đảo để lấy thông tin người dùng.

Apple khẳng định luôn xóa ứng dụng và cấm cửa nhà phát triển khi phát hiện chiêu thức này, nhưng khi đó đã là quá muộn với các nạn nhân.

Lừa đảo tiền ảo thường gặp trên hệ điều hành Android và mạng Internet nói chung, nhưng sự xuất hiện của chúng trên App Store là điều bất ngờ vì Apple luôn kiểm soát chặt hệ thống. Mức phí 15 đến 30% doanh thu trên App Store được Apple thu về nhằm “đảm bảo trải nghiệm người dùng được an toàn”, hãng cho hay.

Khả năng “thay ruột” ứng dụng sau khi được Apple phê chuẩn đặt ra nhiều nghi vấn về hiệu quả của quá trình kiểm duyệt trên gian ứng dụng của hãng. Apple không tiết lộ tần suất những ứng dụng này xuất hiện, nhưng thông báo đã xóa 6.500 “app” vì “các tính năng ẩn hoặc không được thông báo” hồi năm ngoái. Hãng cũng thường xuyên lấy an toàn người dùng làm lý do bào chữa cho những cáo buộc độc quyền trong việc phân phối ứng dụng trên iPhone.

“Apple thường lấy những câu chuyện về an ninh và riêng tư của người dùng làm lá chắn để ngăn cản những hành động cạnh tranh với App Store. Thực tế là những tiêu chuẩn của họ không được áp dụng đều với mọi ứng dụng và chỉ được thực thi khi mang lại lợi ích cho Apple”, Meghan DiMuzio, Giám đốc điều hành Liên minh Công bằng Ứng dụng – tổ chức được lập ra để đấu tranh chống độc quyền trên App Store, cho hay.

Coinfirm, công ty chuyên điều tra lừa đảo và điều phối tiền ảo có trụ sở tại Anh, cho biết đã nhận được 7.000 câu hỏi về việc bị đánh cắp tiền ảo, kể từ tháng 10/2019. “Các ứng dụng giả mạo rất phổ biến trên Play Store và App Store”, Giám đốc thông tin Coinfirm – Pawel Aleksander – cho hay.

5 người đã thông báo cho Coinfirm về ứng dụng giả mạo Trezor trên iOS với tổng thiệt hại khoảng 1,6 triệu USD,và khoảng 600.000 USD trên hệ điều hành Android.

Apple không tiết lộ danh tính nhóm phát triển ứng dụng giả mạo này, cũng như liệu họ có chuyển chúng cho giới chức hay tự điều tra.

Lừa đảo tiền ảo gia tăng

Lừa đảo tiền ảo đang là một trong những hình thức trộm cắp béo bở nhất trên Internet hiện nay. Hàng triệu USD có thể biến mất chỉ trong chưa đầy một giây, những vụ đánh cắp có thể giúp kẻ xấu thu về 530 triệu USD như trong vụ hack Coincheck năm 2018.

Apple cấm ứng dụng ví tiền ảo trên App Store vào năm 2014 nhưng bỏ chính sách này sau một năm. Apple không chấp nhận ứng dụng đào tiền ảo và đặt ra nhiều hạn chế với loại ví này.

Để tăng tính bảo mật, người sở hữu tiền ảo thường chuyển tiền của mình vào ví phần cứng – một dạng USB chứa thông tin bí mật về tài khoản của họ. Thiết bị này chỉ có thể truy cập khi cắm vào máy tính qua cổng USB, nhập mã PIN và mật khẩu. Nếu nó bị phá hủy, dữ liệu có thể được khôi phục nhờ “cụm từ hạt giống”. Một số người lưu cụm từ này trong két sắt hoặc khắc lên khối kim loại để đề phòng hỏa hoạn.

Những kẻ lừa đảo có thể tìm cách để nạn nhân tiết lộ cụm từ hạt giống, từ đó chiếm quyền truy cập ví của họ.

Trezor là công ty chuyên chế tạo ví phần cứng có trụ sở tại Cộng hòa Séc và thuộc sở hữu của Satoshi Labs. Họ không có ứng dụng điện thoại, khiến những kẻ trộm thường tạo app giả mạo trên App Store và Play Store để lấy thông tin của người dùng Trezor.

Kristyna Mazankova, phát ngôn viên công ty, cho biết Trezor đã báo cáo với Apple và Google về những ứng dụng giả mạo suốt nhiều năm, thêm rằng quá trình báo cáo rất “đau khổ” và đại diện hai người khổng lồ này không liên lạc với họ.

App Store trên điện thoại iPhone. Ảnh: AFP.

App Store trên điện thoại iPhone. Ảnh: AFP.

Trezor thông báo về ứng dụng lừa đảo ngày 1/2 và Apple xóa nó hôm 3/2, nhưng ứng dụng này lại xuất hiện chỉ sau vài ngày. Sensor Tower cho biết ứng dụng giả mạo Trezor nằm trên App Store từ ngày 22/1 và đã được tải về khoảng 1.000 lần.

James Fajcz, kỹ sư sống tại bang Georgia của Mỹ, cũng bị đánh cắp tiền ảo qua ứng dụng Trezor giả. Hồi tháng 12/2020, anh bỏ 14.000 USD tiền tiết kiệm để mua Bitcoin và Ethereum, sau đó mua ví Trezor Model T để bảo đảm an toàn. Fajcz tải ứng dụng Trezor về iPhone và được yêu cầu nhập “cụm từ hạt giống”. Ứng dụng không kết nối với ví và Fajcz cho rằng nó không hoạt động.

Vài tuần sau, Fajcz mua thêm Ethereum trên mạng và “cắm” ví Model T vào máy tính, nhưng nó trống trơn. Anh lên diễn đàn hỗ trợ của Trezor để tìm câu trả lời và được thông báo rằng không có ứng dụng Trezor nào trên điện thoại. “Tôi há hốc mồm và như rụng tim khi nhận ra mình đã làm gì”, Fajcz nhớ lại.

Anh gọi đến đường dây hỗ trợ của Apple, đại diện hãng khẳng định họ không có trách nhiệm gì trong việc này. “Đây là ứng dụng được phê duyệt trên Apple Store, nơi được tuyên bố là chợ ứng dụng tốt và đáng tin cậy nhất. Ứng dụng này xuất hiện trên nền tảng đó? Tôi nghĩ Apple nên chịu một phần hoặc toàn bộ trách nhiệm”, Fajcz nói.

Christodoulou đã tích lũy được 18,1 Bitcoin trong nhiều năm, mỗi đồng có giá khoảng 5.500 USD khi đại dịch Covid-19 bùng phát đầu năm 2020. Đến tháng 10/2020, giá bắt đầu tăng chóng mặt và đạt gần 60.000 USD đổi một Bitcoin đầu năm nay.

Christodoulou hy vọng khoản tích lũy Bitcoin sẽ giúp doanh nghiệp của ông, vốn đang chịu thiệt hại nặng vì đại dịch. Ngày 1/2, ông muốn kiểm tra tài khoản bằng điện thoại thay vì máy tính. Christodoulou tải ứng dụng Trezor giả trên App Store và nhập cụm từ bí mật của mình vào. Ngay sau đó, ông cắm ví phần cứng vào máy tính để kiểm tra tài khoản. Toàn bộ số Bitcoin đã biến mất.

Tối đó, Christodoulou xem kỹ đánh giá ứng dụng Trezor trên App Store. Trước khi bị xóa, nó có 155 lượt đánh giá và đạt gần 5 sao. Khi mở các đánh giá, ông phát hiện những lời than phiền của những nạn nhân cùng cảnh ngộ và kết luận mức 5 sao cũng bị giả mạo.

Christodoulou gọi đến đường dây hỗ trợ khách hàng của Apple, đại diện hãng cho biết sẽ chuyển sự việc lên quản lý. Christodoulou cũng nộp báo cáo cho Cục Điều tra Liên bang Mỹ (FBI).

Phát ngôn viên FBI Lauren Hagee Glintz từ chối bình luận về thông tin.

Công ty phân tích blockchain Chainalysis đã xem những tư liệu do Christodoulou và Fajcz cung cấp, xác nhận tiền ảo của họ được chuyển đến một tài khoản đáng ngờ. “Dường như cả hai vụ trộm đều liên quan đến nhau. Có bằng chứng cho thấy đây là một vụ lừa đảo lớn với giá trị hàng trăm nghìn USD”, phát ngôn viên Chainalysis Madeleine Kennedy cho hay.

Christodoulou chỉ giữ lại được một đồng Bitcoin vì chuyển nó vào dịch vụ tiết kiệm BlockFi. 17,1 Bitcoin còn lại có giá trị 600.000 USD vào thời điểm bị mất và sẽ tăng lên mức một triệu USD.

Christodoulou đang phải gặp bác sĩ tâm lý và uống thuốc an thần. “Tôi hoàn toàn suy sụp và chưa thể hồi phục”, ông nói, thêm rằng vẫn chưa nhận được hồi đáp từ Apple.

Điệp Anh (Theo Washington Post)

Nguồn : vnexpress.net