- Trong quá trình kiểm tra iPhone của một nhân viên thuộc tổ chức xã hội dân sự quốc tế có trụ sở tại Washington DC, một lỗ hổng đang bị khai thác chủ động dùng để phát tán phần mềm gián điệp Pegasus của NSO Group đã được phát hiện
- Chuỗi khai thác này, được Citizen Lab gọi là BLASTPASS, có thể xâm phạm iPhone chạy iOS 16.6 mới nhất mà không cần thao tác từ nạn nhân
- Kẻ tấn công đã cố gắng lây nhiễm zero-click bằng cách gửi qua iMessage một tệp đính kèm PassKit chứa hình ảnh độc hại; Citizen Lab cho biết sẽ công bố thêm phân tích
- Citizen Lab đã lập tức chia sẻ phát hiện với Apple, và Apple đã cấp CVE-2023-41064 và CVE-2023-41061 cho các lỗ hổng liên quan
- Các bản cập nhật của Apple áp dụng cho iPhone, iPad, Mac và Apple Watch; Citizen Lab cùng nhóm Apple Security Engineering and Architecture nhận định Lockdown Mode chặn được cuộc tấn công này
Chuỗi khai thác BLASTPASS
- Citizen Lab phát hiện một lỗ hổng zero-click đang bị khai thác ngoài thực tế trong khi kiểm tra thiết bị của một nhân viên thuộc tổ chức xã hội dân sự có trụ sở tại Washington DC và có các văn phòng quốc tế
- Lỗ hổng này được dùng để phát tán phần mềm gián điệp đánh thuê Pegasus của NSO Group
- Citizen Lab đặt tên chuỗi khai thác này là BLASTPASS
- BLASTPASS có thể xâm phạm iPhone chạy iOS 16.6 mới nhất mà không cần tương tác từ nạn nhân
- Cuộc tấn công được thực hiện bằng cách gửi tệp đính kèm PassKit từ tài khoản iMessage của kẻ tấn công tới nạn nhân
- Tệp đính kèm có chứa hình ảnh độc hại
- Tài liệu liên quan có thể xem tại PassKit
- Citizen Lab dự kiến sẽ công bố thảo luận chi tiết hơn về chuỗi khai thác trong thời gian tới
Công bố với Apple và CVE
- Citizen Lab đã lập tức chia sẻ phát hiện với Apple và hợp tác trong quá trình điều tra của Apple
- Apple đã cấp hai CVE liên quan đến chuỗi khai thác này
-
CVE-2023-41064
- CVE-2023-41061
-
Cập nhật ngay và Lockdown Mode
- Citizen Lab khuyến nghị tất cả người dùng cập nhật thiết bị ngay lập tức
- Apple đã phát hành các bản cập nhật cho sản phẩm Apple, bao gồm iPhone, iPad, Mac và Apple Watch
- Những người dùng có thể đối mặt rủi ro cao hơn do danh tính hoặc hoạt động của mình được khuyến nghị bật Lockdown Mode
- Citizen Lab cùng nhóm Apple Security Engineering and Architecture nhận định Lockdown Mode chặn được cuộc tấn công cụ thể này
- Citizen Lab đánh giá tích cực phản ứng điều tra nhanh và chu kỳ vá lỗi của Apple, đồng thời ghi nhận sự hợp tác và hỗ trợ của nạn nhân cùng tổ chức của họ
Tín hiệu bảo mật từ việc nhắm mục tiêu vào xã hội dân sự
- Phát hiện này một lần nữa cho thấy xã hội dân sự là mục tiêu của các khai thác tinh vi và phần mềm gián điệp đánh thuê
- Các bản cập nhật của Apple sẽ bảo vệ thiết bị của người dùng phổ thông, doanh nghiệp và chính phủ trên toàn thế giới
- Việc phát hiện BLASTPASS nhấn mạnh rằng hỗ trợ các tổ chức xã hội dân sự mang lại giá trị lớn cho an ninh mạng tập thể
Lịch sử cập nhật
- Bài viết được cập nhật lúc 5:42 chiều giờ miền Đông ngày 7 tháng 9
- Bản cập nhật phản ánh nhận định của nhóm Apple Security Engineering and Architecture và Citizen Lab rằng Lockdown Mode chặn được cuộc tấn công cụ thể này
1 bình luận
Ý kiến trên Hacker News
Có rất nhiều bàn luận về Apple và phần mềm, nhưng lại quá ít nói về việc vì sao NSO Group có thể tồn tại
Họ hoạt động gần như công khai và dường như cũng chẳng xấu hổ. Nếu không thì họ đã không đưa điều này vào hồ sơ xin việc: https://www.linkedin.com/company/nso-group/people/
Nhìn vào đó, có vẻ “cộng đồng công nghệ” quá dễ dàng chấp nhận kiểu sử dụng công nghệ như thế này. Chính thứ công nghệ mà chúng ta tin là sẽ “làm thế giới tốt đẹp hơn” ấy
NSO có vẻ được chính phủ Israel hậu thuẫn. Họ nói chỉ bán cho các chính phủ đã qua thẩm định trước, nhưng trên thực tế thường bán cho các quốc gia chuyên chế dùng nó để giám sát và đàn áp những người phản đối chế độ
Lý do NSO Group tệ là vì họ bị cáo buộc đã bán cho các chế độ đàn áp, và chủ động hỗ trợ các chế độ đó triển khai phần mềm để gây hại cho thường dân vô tội. Vì hành vi, ý đồ và thất bại trong quản lý trách nhiệm như vậy, họ đáng bị trừng phạt, và theo tôi nhớ thì họ đã đang bị trừng phạt rồi
Tuy nhiên, có nhiều ngoại lệ, chẳng hạn bên bán và bên mua phải có thiện chí và dự định chỉ sử dụng đúng luật. Đây không phải tư vấn pháp lý
Không có lý do gì để kỳ vọng thế giới sẽ sớm giải trừ vũ trang, nên tốt nhất là nhận thức được điều đó, tác động đến chính sách theo cách dân chủ, đồng thời loại bỏ các ý tưởng tệ và tác nhân xấu
Israel vẫn tiếp tục lôi kéo Ả Rập Xê Út để xây dựng liên minh trong một cuộc chiến tiềm tàng với Iran. Để có quyền bay qua không phận Saudi, chắc chắn họ sẽ hy sinh vài nhà hoạt động nhân quyền. Dù vậy, gần đây có vẻ mọi chuyện không mấy suôn sẻ với Israel
Thực tế thì cộng đồng công nghệ rất đa dạng và hoàn toàn không gắn kết. Ví dụ, nhiều lập trình viên chỉ vừa đủ trang trải chi phí sinh hoạt cơ bản, nên thậm chí không còn dư sức tinh thần để biết NSO là gì
Điều thú vị là Lockdown Mode được nhấn mạnh một cách khác thường rằng đừng dùng trừ khi bạn là nhà báo hoặc đang đối mặt với nguy cơ trực tiếp, rõ ràng. Thực ra từ góc nhìn người dùng, khác biệt về tính năng không lớn lắm; nó chủ yếu tắt nhiều thứ không cần thiết của Apple chạy nền và làm rộng bề mặt tấn công
Vậy mà ai cũng lặp lại kiểu cảnh báo rằng “không phải ai cũng nên dùng, chỉ người đặc biệt mới nên dùng”. Trong khi đây không phải tài nguyên khan hiếm, cũng không phải trò chơi tổng bằng không. Ngược lại, nếu mọi người đều dùng thì có thể tắt nhiều tính năng không mang lại lợi ích cho người dùng, tiết kiệm pin, và càng nhiều người dùng thì càng khó dùng nó để nhận diện một nhóm người dùng cụ thể
Apple hẳn muốn tránh việc iOS bị cảm nhận là chậm hoặc ì hơn Android. Ngoài ra, spyware zero-day thường nhắm vào nhân vật quan trọng hơn là giám sát quy mô lớn, nên rủi ro thực tế với cá nhân cũng nhỏ
Sẽ tốt nếu có một chế độ dung hòa giữa hai chế độ này. Kiểu như cho phép hạ mức bảo mật trong vài phút khi cần một tính năng nào đó. Ví dụ, nếu Safari phát hiện JavaScript chạy chậm, nó có thể hỏi có muốn bật lại JIT không
Nhìn từ góc độ chính trị thực tế, có thể các chế độ đàn áp đã đặt điều kiện rằng họ sẽ cho phép Apple phát hành thiết bị có tính năng này, miễn là Apple không quảng bá tích cực hoặc đặt nó làm mặc định. Nếu ở Trung Quốc Lockdown Mode được bật mặc định và đa số người dùng sử dụng, Apple sẽ nhanh chóng bị đuổi khỏi Trung Quốc
Tôi cũng không cảm thấy khác biệt với nội dung web, có thể vì tôi dùng Firefox/Chrome thay vì Safari. Điều tôi thật sự muốn là có lựa chọn. Ví dụ trên iOS tôi dùng album ảnh chia sẻ, nên sẽ tốt nếu có thể giữ tính năng đó và chỉ tắt các tính năng còn lại
Trước hết, Continuity dường như gần như hỏng, mà cá nhân tôi lại khá phụ thuộc vào tính năng này. AirPlay cũng trở nên khá thất thường
Tất cả có thể đều là vấn đề mạng, nhưng chỉ bắt đầu xảy ra sau khi chuyển sang Lockdown Mode. Ngoài ra, việc yêu cầu Screen Time không hoạt động cũng khá bất tiện
Từ trước đến nay iMessage đã có bao nhiêu lỗ hổng rồi?
Đã đến lúc chỉ cho phép văn bản thuần túy đối với tin nhắn đầu tiên từ liên hệ mới, và với các tin nhắn còn lại cũng chỉ cho phép một tập con cực kỳ hạn chế thay vì một hệ thống mở rộng điên rồ chẳng khác ActiveX là mấy hay chưa?
Cũng đáng cân nhắc chạy toàn bộ ứng dụng trong sandbox, và như một lớp bảo vệ bổ sung thì xử lý mọi thứ bằng webview
iMessage cũng nên có chính xác hành vi tương tự vì cùng lý do đó. Thật bực bội khi thấy những product manager tham lam làm việc trong cùng một tòa nhà lại phải học lại các bài học mà thế hệ trước đã phải trả giá đau đớn mới học được
Câu trả lời không nên là “đừng render ảnh nữa”. Các component phân tích dữ liệu bên ngoài như ảnh phải là những thứ ta có thể tin rằng dù input là gì cũng không thể thực hiện hành vi độc hại
Nếu cần sandboxing thì cứ làm vậy; nếu phải viết lại toàn bộ image parser bằng ngôn ngữ an toàn từ đầu hoặc chứng minh tính đúng đắn bằng phương pháp hình thức thì cũng cứ làm. Apple có đủ tiền để vận hành chương trình không gian của riêng mình mười lần, nên chắc cũng có thể tạo ra một thư viện ảnh có thể chứng minh được
iMessage chỉ có một số ít exploit, và được những nơi như NSO cấp phép với giá cực kỳ đắt cho một số rất ít tác nhân quốc gia tồi tệ, dùng trong các cuộc tấn công mục tiêu rủi ro cực cao
Tìm ra rồi. Cho ai quan tâm: trên iPhone, vào Settings, nhấn Messages rồi đặt iMessage thành Off là được
Lại là buffer overflow khi giải mã ảnh nữa à, nghe giống lỗ hổng năm 2021 [1]
Lần đó thật sự ấn tượng. Họ đã tạo ra một CPU bằng các phép toán nguyên thủy do một định dạng nén ảnh bí hiểm nhúng trong PDF cung cấp, rồi thực hiện đủ phép toán số học để leo thang tiếp lên thực thi mã tùy ý
[1]: https://googleprojectzero.blogspot.com/2021/12/a-deep-dive-i...
Mong đừng hiểu lầm. Tôi nghĩ JPEG-XL là một ý tưởng hay, nhưng đây chính là câu trả lời cho những người nói “hỗ trợ thêm một định dạng ảnh nữa thì hại gì đâu”
Bản sửa lỗi này được phát hành hôm nay và có vẻ được canh thời điểm với thông báo, nên cần kiểm tra xem bản cập nhật của bạn và những người xung quanh đã được áp dụng chưa
https://support.apple.com/en-us/HT201222
Theo tôi biết, toàn bộ mã parsing của iMessage phải chạy trong sandbox BlastDoor, vậy có phải còn lỗ hổng khác trong chuỗi khai thác chưa được công bố không?
Chỉ đưa NSO Group vào danh sách đen của Bộ Thương mại rõ ràng là chưa đủ. Lũ rác rưởi này ít nhất, theo nghĩa ẩn dụ, nên bị đưa tới The Hague
Nếu tò mò về NSO Group, Pegasus, Citizen Lab, tập 100 của podcast Darknet Diaries tóm tắt lịch sử khá tốt
Link cho ai quan tâm: https://darknetdiaries.com/episode/100/
Cần một Lockdown Mode chi tiết hơn. Ví dụ tắt các phần tự động hóa và yếu tố rủi ro của iMessage và Safari, nhưng vẫn để phụ kiện thiết bị hoạt động
Việc mất cả phụ kiện Bluetooth chỉ để tự bảo vệ khỏi exploit zero click của iMessage là không ổn. iMessage là bề mặt tấn công mở rộng lớn nhất
Ví dụ Settings > Messages > iMessage là công tắc có thể tắt nếu bạn cảm thấy iMessage là vấn đề
Trong Settings > Safari > Privacy and security cũng có nhiều thiết lập để cấu hình khóa chặt Safari chi tiết hơn
Tò mò không biết Lockdown Mode có chặn được cuộc tấn công này không
Từ trước đến nay đã từng có iPhone đang bật Lockdown Mode bị hack bằng lỗ hổng zero-day chưa? Không tính các trường hợp lừa người dùng cài chương trình độc hại
https://techcrunch.com/2023/04/18/apple-lockdown-mode-iphone...
Liên kết CL: https://citizenlab.ca/2023/04/nso-groups-pegasus-spyware-ret...
Thread liên quan đang diễn ra:
iOS 16.6.1 fixes two vulnerabilities known to be actively exploited in the wild - https://news.ycombinator.com/item?id=37423506 - Tháng 9 năm 2023, 7 bình luận