Mã độc "qua mặt" Apple như thế nào?

Một nhóm hacker đã tìm ra phương pháp mới có thể đưa phần mềm nguy hiểm vào App Store của Apple bằng cách thay đổi mã nhị phân từ xa.

Ứng dụng có tên Jekyll đã được lập trình rất tinh vi để giống như một dạng trò chơi, dịch vụ hoặc ứng dụng tiện ích vô hại. Tuy nhiên, các lập trình viên Tielei Wang, Kangjie Lu, Long Lu, Simon Chung và Wenke Lee của Viện Công nghệ Georgia đã phát triển một kỹ thuật điều khiển từ xa có thể thay đổi mã nhị phân của Jekyll nhằm biến nó thành mã độc sau khi đã vượt qua khâu kiểm định ứng dụng nghiêm ngặt của Apple.

Nhóm lập trình viên cho hay: "Ý tưởng chính của chúng tôi là làm cho ứng dụng có thể được điều khiển từ xa để biến thành phần mềm độc hại bằng cách sắp xếp lại mã đã đăng ký. Bởi vì các lưu lượng dữ liệu điều khiển không tồn tại trong quá trình đánh giá nên các ứng dụng như Jekyll có thể dễ dàng được Apple phê duyệt".

"Chúng tôi đã tiến hành phát triển Jekyll dựa trên lý thuyết đó và đưa nó vào App Store thành công. Từ đó, chúng tôi có thể tấn công vào các thiết bị đã cài đặt ứng dụng Jekyll. Kết quả cho thấy ứng dụng Jekyll đã thành công trong việc thực hiện nhiều nhiệm vụ gián điệp, chẳng hạn như tự động đăng các dòng tweet, chụp ảnh, ăn cắp thông tin nhận dạng thiết bị, gửi email, gửi tin nhắn SMS và tấn công các ứng dụng khác".

Bên cạnh việc gửi tin nhắn và ăn cắp số ID, Jekyll cũng được sử dụng để mở các trang web độc hại bằng trình duyệt Safari có sẵn của thiết bị.

Trước tuyên bố của các chuyên gia Viện Công nghệ Georgia, ông Tom Neumayr - phát ngôn viên của Apple - cho biết đội ngũ phát triển của Apple đã thực hiện một số thay đổi trên iOS để khắc phục vấn đề trên. Tuy nhiên, ông không đề cập đến việc lỗ hổng nguy hiểm này đã được vá hoàn toàn hay chưa.

Được biết, Apple có chính sách kiểm duyệt nghiêm ngặt trước khi chấp nhận các ứng dụng vào App Store. Nhà sản xuất iPhone không cho phép các ứng dụng độc hại, nguy hiểm hoặc các ứng dụng có chứa nội dung người lớn cũng như các ứng dụng không có điều khoản người dùng xâm nhập vào cửa hàng ứng dụng của mình. Quy định này nhằm để tránh các ứng dụng giả mạo, nguy hiểm xuất hiện trên App Store.

Ngoài ra, các ứng dụng do Apple phân phối đều chạy trong iOS sandbox - một kỹ thuật bảo mật dành cho các ứng dụng. Khi một ứng dụng được khởi chạy, Sandbox sẽ tạo một "tường rào" xung quanh để cách li nó với phần còn lại của hệ thống nhằm ngăn không để nó giao tiếp với các ứng dụng khác hoặc các chương trình được cài đặt sẵn trong thiết bị. Điều này có nghĩa là nếu một ứng dụng là độc hại, nó sẽ không thể tấn công các phần mềm khác. Nhưng trên thực tế, các điều khoản và quy định của Apple đã không ngăn được đội ngũ chuyên gia của Viện công nghệ Georgia.

QS

Theo Daily Mail