Một nghiên cứu mới đây đã phơi bày thực trạng đáng báo động: hàng ngàn ứng dụng trên hệ điều hành iOS, dù đã được Apple duyệt, lại chứa đựng những lỗ hổng bảo mật tiềm ẩn. Các lỗ hổng này có thể dẫn đến việc lộ lọt thông tin người dùng, dữ liệu lưu trữ trên đám mây và thậm chí cả hệ thống thanh toán.
Theo đó, các nhà nghiên cứu bảo mật từ Cybernews đã phân tích mã nguồn của hơn 156.000 ứng dụng iPhone, chiếm khoảng 8% tổng số ứng dụng toàn cầu. Kết quả cho thấy có hơn 815.000 “bí mật” được mã hóa cứng (hardcoded secrets) trong mã ứng dụng, trung bình 5 bí mật mỗi ứng dụng. Đáng lo ngại hơn, tới 71% các ứng dụng bị phát hiện rò rỉ ít nhất một bí mật, bao gồm mật khẩu, khóa API và token truy cập. Đây là những thông tin nhạy cảm được các nhà phát triển nhúng trực tiếp vào ứng dụng, thay vì bảo vệ trên máy chủ an toàn, khiến chúng dễ dàng bị kẻ xấu khai thác.
Vấn đề nghiêm trọng nhất liên quan đến lưu trữ đám mây, với hơn 78.000 ứng dụng iOS có liên kết trực tiếp đến các “thùng” lưu trữ đám mây (cloud storage buckets). Nhiều thùng trong số này không yêu cầu mật khẩu, dẫn đến việc hơn 76 tỷ tệp tin và hơn 406 terabyte dữ liệu bị lộ lọt. Dữ liệu này bao gồm tải lên của người dùng, chi tiết đăng ký, nhật ký ứng dụng và các hồ sơ riêng tư.
Ngoài ra, hơn 51.000 liên kết cơ sở dữ liệu Firebase, một nền tảng phổ biến để lưu trữ dữ liệu người dùng, cũng được tìm thấy trong mã ứng dụng. Trong đó, hơn 2.200 cơ sở dữ liệu không có xác thực, làm lộ gần 20 triệu bản ghi người dùng, bao gồm tin nhắn, hồ sơ và nhật ký hoạt động.
Các khóa bí mật quan trọng liên quan đến hệ thống thanh toán như Stripe và các hệ thống xác thực đăng nhập JWT cũng bị lộ. Điều này có thể cho phép kẻ tấn công thực hiện hoàn tiền, chuyển tiền hoặc truy cập thông tin thanh toán, cũng như chiếm đoạt tài khoản người dùng.
Đáng chú ý, các ứng dụng liên quan đến trí tuệ nhân tạo (AI) và ứng dụng xã hội nằm trong số những ứng dụng có nguy cơ rò rỉ dữ liệu cao nhất. Ví dụ, ứng dụng Chat & Ask AI được cho là đã làm lộ lịch sử trò chuyện, số điện thoại và địa chỉ email của hàng triệu người dùng.
Dù Apple có quy trình xem xét ứng dụng, nhưng quy trình này không quét mã nguồn để tìm các bí mật ẩn. Điều này tạo ra một kẽ hở giữa tuyên bố bảo mật của Apple và rủi ro thực tế. Theo các chuyên gia, người dùng nên cẩn trọng bằng cách ưu tiên các nhà phát triển uy tín, giới hạn quyền truy cập của ứng dụng, xóa các ứng dụng không còn sử dụng, hạn chế chia sẻ thông tin cá nhân và sử dụng trình quản lý mật khẩu mạnh.
Nghiên cứu được thực hiện bởi Cybernews và được công bố bởi Fox News ngày 29 tháng 1 năm 2026.
