Google: Hàng loạt website độc hại đã âm thầm tấn công iPhone trong nhiều năm qua

Các nhà nghiên cứu tại Google cho biết họ đã phát hiện ra một loạt các trang web có mã độc được thiết kế để tấn công vào các thiết bị iPhone. Đây có thể là cuộc tấn công người dùng iPhone lớn nhất trong lịch sử.

Theo Google, những trang web độc hại này phát tán mã độc không có mục tiêu cụ thể, chúng được truy cập hàng nghìn lượt mỗi tuần và đã hoạt động trong nhiều năm.

Ian Beer, nhân viên thuộc dự án Project Zero của Google viết trên trang cá nhân rằng "Những trang web này không có sự phân loại mục tiêu, chỉ cần truy cập chúng là đủ để máy chủ khai thác và tấn công thiết bị của bạn. Nếu cuộc tấn công thành công, chúng sẽ cấy vào thiết bị phần mềm theo dõi. Chúng tôi phát hiện trang web này có đến vài nghìn lượt truy cập mỗi tuần".

Một số cuộc tấn công đã khai thác lỗ hổng zero-day. Đây là lỗ hổng mà công ty bị ảnh hưởng, trong trường hợp này là Apple, chưa tìm ra chúng, do vậy Apple không thể vá lỗ hổng này. Hay nói tóm lại, tấn công khai thác lỗ hổng zero-day có tính hiệu quả cao hơn khi mục tiêu là điện thoại hay máy tính vì công ty sản xuất không biết về lỗ hổng đó à vì thế không thể khắc phục chúng.

Mức giá phải trả cho việc "mở" một chiếc iPhone hiện đang rất cao và việc này cùng không dễ dàng gì. Mức giá để "mở" hoàn toàn một chiếc iPhone hiện nay đã lên đến con số 3 triệu đô la Mỹ. Công việc này bao gồm tấn công vào các lỗ hổng khác nhau thuộc nhiều phần khác nhau trên hệ điều hành iPhone như trình duyệt web, phần nhân hệ thống và phần hộp cát ứng dụng, phần này được thiết kế để giữ các đoạn mã chỉ chạy trong khu vực cần thiết.

Beer còn tiết lộ rằng nhóm phân tích mối đe dọa Threat Analysis Group (TAG) của Google đã thu thập được 5 phương pháp tấn công iPhone dựa trên 14 lỗ hổng. Những phương pháp tấn công này có thể áp dụng trên hệ điều hành iPhone từ phiên bản iOS 10 cho đến bản mới nhất của iOS 12. Ít nhất một trong số các phương pháp có sử dụng lỗ hổng zero-day tại thời điểm phát hiện và Apple đã vá lỗ hổng này ở bản cập nhật hồi tháng 2 sau khi được Google gửi cảnh báo.

Một khi cuộc tấn công diễn ra thành công, chúng có thể cấy mã độc vào thiết bị iPhone của người dùng. Trong trường hợp này "mã độc được cấy vào chủ yếu tập trung vào đánh cắp các tập tin và tải lên dữ liệu vị trí thời gian thực. Những mã độc trong thiết bị gửi lệnh và nhận lệnh từ máy chủ mỗi 60 giây", Beer cho biết.

Mã độc trong máy còn truy cập vào keychain của người dùng, đây là nơi lưu mật khẩu cũng như các dữ liệu mã hóa đầu cuối của những ứng dụng nhắn tin như Telegram, Whatsapp và iMessage. Mã hóa đầu cuối nhằm bảo vệ tin nhắn của người dùng không bị lộ nếu chúng bị chặn lại, nhưng lại vô dụng nếu tin tặc có thể kiểm soát thiết bị đầu cuối.

Mặc dù vậy, mã độc không tồn tại vĩnh viễn, nếu người dùng khởi động lại iPhone của họ, mã độc trong máy sẽ bị xóa sạch. Tuy nhiên một khi mã độc đã tồn tại trong máy thì tất nhiên là thông tin nhạy cảm của bạn đã có nguy cơ bị lộ ra ngoài.

"Với mức độ thông tin bị đánh cắp, những kẻ tấn công vẫn có thể duy trì quyền truy cập vào các tài khoản và dịch vụ khác nhờ vào mã xác thực chúng lấy từ keychain của thiết bị, ngay cả khi chúng đã mất quyền kiểm soát điện thoại của người dùng", Beer viết trong bài blog của mình. Ngoài ra, bài viết còn cho biết thêm rằng những thông tin được chuyển đến máy chủ không được mã hóa.

Trước đây, những cuộc tấn công dạng này được thực hiện rộng rãi hơn, thông thường tin tặc sẽ gửi tin nhắn văn bản đến mục tiêu của chúng, trong đó đính kèm đường dẫn đến trang web có chứa mã độc, đôi khi trang web này được thiết kế riêng cho từng loại đối tượng. Dạng tấn công này rộng hơn về mặt phạm vi đối tượng, hay ít nhất là có khả năng tiếp cận nhiều đối tượng hơn.

"Điều này cho thấy rằng có một nhóm đang nỗ lực để tìm cách tấn công vào người dùng iPhone ở một cộng đồng nhất định trong khoảng thời gian ít nhất hai năm trở lại đây", Beer nói thêm.

Apple hiện vẫn chưa có trả lời chính thức về thông tin này.

Minh Bảo