iPhone của nhân viên trong một công ty bảo mật bị xâm nhập trong nhiều năm mà không hay biết
Khám phá lỗ hổng đáng lo ngại trên iPhone: Những năm qua, công ty bảo mật lớn đã không phát hiện được việc iPhone của nhân viên bị tấn công thông qua một tính năng ẩn quá tinh vi
Theo báo cáo của ArsTechnica, các nhà nghiên cứu gần đây đã công bố bằng chứng cho thấy trong hơn 4 năm qua, hàng nghìn chiếc iPhone đã bị tấn công bởi mã độc gián điệp (spyware). Các nạn nhân chủ yếu là nhân viên của công ty bảo mật Kaspersky tại Moscow, cũng như hàng nghìn người làm việc tại các đại sứ quán và phái đoàn ngoại giao ở Nga đã bị ảnh hưởng bởi spyware này.
Một điều đáng lo ngại là kẻ tấn công đã đạt được quyền kiểm soát trên thiết bị một cách sâu rộng chưa từng thấy, dựa trên một lỗ hổng bảo mật hiếm khi bên ngoài Apple và hãng thiết kế bán dẫn ARM biết đến.
Hiện vẫn chưa rõ làm thế nào kẻ tấn công biết về tính năng phần cứng này, thậm chí các nhà nghiên cứu cũng không rõ mục đích của tính năng này ra sao. Ngoài ra, cũng chưa xác định được rằng tính năng này thuộc về iPhone hay là một thành phần của nhân ARM.
Mã độc được phát tán qua tin nhắn iMessage và không yêu cầu nạn nhân thực hiện bất kỳ hành động nào. Sau khi bị nhiễm, iPhone sẽ gửi ghi âm, ảnh, dữ liệu vị trí và các thông tin nhạy cảm khác đến máy chủ do kẻ tấn công điều khiển. Mặc dù khởi động lại iPhone có thể loại bỏ phần mềm độc hại, nhưng kẻ tấn công sẽ gửi một tin nhắn mới chứa spyware đến cùng một thiết bị và lặp lại quá trình lây nhiễm mỗi khi khởi động lại.
Quy trình khai thác lỗ hổng của mã độc
Trong một email, nhà nghiên cứu Boris Larin của Kaspersky cho biết: "Tính tinh vi của lỗ hổng và tính bí ẩn của tính năng này cho thấy kẻ tấn công có khả năng kỹ thuật cao. Phân tích của chúng tôi không tiết lộ họ biết về tính năng này như thế nào, nhưng chúng tôi đang xem xét tất cả các khả năng, bao gồm cả rò rỉ ngẫu nhiên trong firmware hoặc mã nguồn trước đây. Họ cũng có thể vô tình phát hiện ra nó thông qua việc dịch ngược phần cứng."
Phần mềm độc hại và quá trình cài đặt được gọi là "Triangulation" chứa bốn lỗ hổng zero-day, nghĩa là kẻ tấn công đã biết về chúng trước Apple. Hiện tại, Apple đã vá các lỗ hổng tương ứng là CVE-2023-32434, CVE-2023-32435, CVE-2023-38606 và CVE-2023-41990. Những lỗ hổng zero-day này không chỉ ảnh hưởng đến iPhone mà còn đối với iPad, iPod, Mac, Apple TV và Apple Watch.
Theo thông cáo báo chí, nhà nghiên cứu Boris Larin của Kaspersky nói thêm: "Đây không chỉ là một lỗ hổng thông thường. Do tính chất đóng của hệ sinh thái iOS, quá trình phát hiện gặp nhiều thách thức và mất thời gian, đòi hỏi sự hiểu biết toàn diện về cả kiến trúc phần cứng và phần mềm. Khám phá này một lần nữa cho thấy rằng ngay cả các biện pháp bảo vệ dựa trên phần cứng tiên tiến cũng có thể trở nên không hiệu quả trước một kẻ tấn công tinh vi, đặc biệt là khi có những tính năng phần cứng cho phép vượt qua các biện pháp bảo vệ này".
Kẻ ăn cắp hàng trăm chiếc iPhone lần đầu tiết lộ mánh khóe: Ai cũng cần đọc ngay để tự bảo vệ chính mình
