1 điểm bởi GN⁺ 2023-09-08 | 1 bình luận | Chia sẻ qua WhatsApp
  • Trong quá trình kiểm tra iPhone của một nhân viên thuộc tổ chức xã hội dân sự quốc tế có trụ sở tại Washington DC, một lỗ hổng đang bị khai thác chủ động dùng để phát tán phần mềm gián điệp Pegasus của NSO Group đã được phát hiện
  • Chuỗi khai thác này, được Citizen Lab gọi là BLASTPASS, có thể xâm phạm iPhone chạy iOS 16.6 mới nhất mà không cần thao tác từ nạn nhân
  • Kẻ tấn công đã cố gắng lây nhiễm zero-click bằng cách gửi qua iMessage một tệp đính kèm PassKit chứa hình ảnh độc hại; Citizen Lab cho biết sẽ công bố thêm phân tích
  • Citizen Lab đã lập tức chia sẻ phát hiện với Apple, và Apple đã cấp CVE-2023-41064CVE-2023-41061 cho các lỗ hổng liên quan
  • Các bản cập nhật của Apple áp dụng cho iPhone, iPad, Mac và Apple Watch; Citizen Lab cùng nhóm Apple Security Engineering and Architecture nhận định Lockdown Mode chặn được cuộc tấn công này

Chuỗi khai thác BLASTPASS

  • Citizen Lab phát hiện một lỗ hổng zero-click đang bị khai thác ngoài thực tế trong khi kiểm tra thiết bị của một nhân viên thuộc tổ chức xã hội dân sự có trụ sở tại Washington DC và có các văn phòng quốc tế
  • Lỗ hổng này được dùng để phát tán phần mềm gián điệp đánh thuê Pegasus của NSO Group
  • Citizen Lab đặt tên chuỗi khai thác này là BLASTPASS
  • BLASTPASS có thể xâm phạm iPhone chạy iOS 16.6 mới nhất mà không cần tương tác từ nạn nhân
  • Cuộc tấn công được thực hiện bằng cách gửi tệp đính kèm PassKit từ tài khoản iMessage của kẻ tấn công tới nạn nhân
    • Tệp đính kèm có chứa hình ảnh độc hại
    • Tài liệu liên quan có thể xem tại PassKit
  • Citizen Lab dự kiến sẽ công bố thảo luận chi tiết hơn về chuỗi khai thác trong thời gian tới

Công bố với Apple và CVE

  • Citizen Lab đã lập tức chia sẻ phát hiện với Apple và hợp tác trong quá trình điều tra của Apple
  • Apple đã cấp hai CVE liên quan đến chuỗi khai thác này
    • CVE-2023-41064

      • CVE-2023-41061

Cập nhật ngay và Lockdown Mode

  • Citizen Lab khuyến nghị tất cả người dùng cập nhật thiết bị ngay lập tức
  • Apple đã phát hành các bản cập nhật cho sản phẩm Apple, bao gồm iPhone, iPad, Mac và Apple Watch
  • Những người dùng có thể đối mặt rủi ro cao hơn do danh tính hoặc hoạt động của mình được khuyến nghị bật Lockdown Mode
  • Citizen Lab cùng nhóm Apple Security Engineering and Architecture nhận định Lockdown Mode chặn được cuộc tấn công cụ thể này
  • Citizen Lab đánh giá tích cực phản ứng điều tra nhanh và chu kỳ vá lỗi của Apple, đồng thời ghi nhận sự hợp tác và hỗ trợ của nạn nhân cùng tổ chức của họ

Tín hiệu bảo mật từ việc nhắm mục tiêu vào xã hội dân sự

  • Phát hiện này một lần nữa cho thấy xã hội dân sự là mục tiêu của các khai thác tinh vi và phần mềm gián điệp đánh thuê
  • Các bản cập nhật của Apple sẽ bảo vệ thiết bị của người dùng phổ thông, doanh nghiệp và chính phủ trên toàn thế giới
  • Việc phát hiện BLASTPASS nhấn mạnh rằng hỗ trợ các tổ chức xã hội dân sự mang lại giá trị lớn cho an ninh mạng tập thể

Lịch sử cập nhật

  • Bài viết được cập nhật lúc 5:42 chiều giờ miền Đông ngày 7 tháng 9
  • Bản cập nhật phản ánh nhận định của nhóm Apple Security Engineering and Architecture và Citizen Lab rằng Lockdown Mode chặn được cuộc tấn công cụ thể này

1 bình luận

 
GN⁺ 2023-09-08
Ý kiến trên Hacker News
  • Có rất nhiều bàn luận về Apple và phần mềm, nhưng lại quá ít nói về việc vì sao NSO Group có thể tồn tại
    Họ hoạt động gần như công khai và dường như cũng chẳng xấu hổ. Nếu không thì họ đã không đưa điều này vào hồ sơ xin việc: https://www.linkedin.com/company/nso-group/people/
    Nhìn vào đó, có vẻ “cộng đồng công nghệ” quá dễ dàng chấp nhận kiểu sử dụng công nghệ như thế này. Chính thứ công nghệ mà chúng ta tin là sẽ “làm thế giới tốt đẹp hơn” ấy

    • Phim tài liệu của PBS về NSO của Pegasus khá hay: https://www.pbs.org/wgbh/frontline/documentary/global-spywar...
      NSO có vẻ được chính phủ Israel hậu thuẫn. Họ nói chỉ bán cho các chính phủ đã qua thẩm định trước, nhưng trên thực tế thường bán cho các quốc gia chuyên chế dùng nó để giám sát và đàn áp những người phản đối chế độ
    • NSO nói họ chỉ nhắm vào “khủng bố và tội phạm”, vậy nếu là công dân tuân thủ pháp luật và không có gì phải che giấu thì chắc chẳng có gì phải lo, đúng không? Vì làm báo điều tra hay hoạt động chính trị đối lập thì làm gì có chế độ nào trên đời lại gán cho người ta nghi án tội phạm hay khủng bố đâu
    • Việc các pháp nhân Mỹ bán mã độc/vũ khí phần mềm cho nhau nhìn chung là hợp pháp, với ngoại lệ lớn là nếu thuộc diện quản lý ITAR thì, trừ khi là mã nguồn mở, chỉ được bán cho chính phủ Mỹ hoặc nhà cung cấp đã được ITAR phê duyệt
      Lý do NSO Group tệ là vì họ bị cáo buộc đã bán cho các chế độ đàn áp, và chủ động hỗ trợ các chế độ đó triển khai phần mềm để gây hại cho thường dân vô tội. Vì hành vi, ý đồ và thất bại trong quản lý trách nhiệm như vậy, họ đáng bị trừng phạt, và theo tôi nhớ thì họ đã đang bị trừng phạt rồi
      Tuy nhiên, có nhiều ngoại lệ, chẳng hạn bên bán và bên mua phải có thiện chí và dự định chỉ sử dụng đúng luật. Đây không phải tư vấn pháp lý
    • Khá nhiều thứ trong số này được phân loại là vũ khí, nên thực tế gần giống chính phủ Israel bán chúng hơn là một công ty bán. Nó không khác MANPADS, thứ có thể được dùng để bắn hạ Ka-52 ở Ukraine, cũng có thể được dùng để bắn hạ máy bay chở khách dân sự; hướng sử dụng được quyết định bởi chính sách đối ngoại của nước sản xuất và những thất bại của chính sách đó
      Không có lý do gì để kỳ vọng thế giới sẽ sớm giải trừ vũ trang, nên tốt nhất là nhận thức được điều đó, tác động đến chính sách theo cách dân chủ, đồng thời loại bỏ các ý tưởng tệ và tác nhân xấu
      Israel vẫn tiếp tục lôi kéo Ả Rập Xê Út để xây dựng liên minh trong một cuộc chiến tiềm tàng với Iran. Để có quyền bay qua không phận Saudi, chắc chắn họ sẽ hy sinh vài nhà hoạt động nhân quyền. Dù vậy, gần đây có vẻ mọi chuyện không mấy suôn sẻ với Israel
    • Có cảm giác như “cộng đồng công nghệ” bị xem như một nhóm gắn kết có năng lực tổ chức để xoay chuyển theo một hướng nhất định
      Thực tế thì cộng đồng công nghệ rất đa dạng và hoàn toàn không gắn kết. Ví dụ, nhiều lập trình viên chỉ vừa đủ trang trải chi phí sinh hoạt cơ bản, nên thậm chí không còn dư sức tinh thần để biết NSO là gì
  • Điều thú vị là Lockdown Mode được nhấn mạnh một cách khác thường rằng đừng dùng trừ khi bạn là nhà báo hoặc đang đối mặt với nguy cơ trực tiếp, rõ ràng. Thực ra từ góc nhìn người dùng, khác biệt về tính năng không lớn lắm; nó chủ yếu tắt nhiều thứ không cần thiết của Apple chạy nền và làm rộng bề mặt tấn công
    Vậy mà ai cũng lặp lại kiểu cảnh báo rằng “không phải ai cũng nên dùng, chỉ người đặc biệt mới nên dùng”. Trong khi đây không phải tài nguyên khan hiếm, cũng không phải trò chơi tổng bằng không. Ngược lại, nếu mọi người đều dùng thì có thể tắt nhiều tính năng không mang lại lợi ích cho người dùng, tiết kiệm pin, và càng nhiều người dùng thì càng khó dùng nó để nhận diện một nhóm người dùng cụ thể

    • iOS sẽ hơi bất tiện hơn một chút. Ví dụ khi thêm nhau trong iMessage, và hiệu năng JavaScript của Safari cũng giảm mạnh
      Apple hẳn muốn tránh việc iOS bị cảm nhận là chậm hoặc ì hơn Android. Ngoài ra, spyware zero-day thường nhắm vào nhân vật quan trọng hơn là giám sát quy mô lớn, nên rủi ro thực tế với cá nhân cũng nhỏ
      Sẽ tốt nếu có một chế độ dung hòa giữa hai chế độ này. Kiểu như cho phép hạ mức bảo mật trong vài phút khi cần một tính năng nào đó. Ví dụ, nếu Safari phát hiện JavaScript chạy chậm, nó có thể hỏi có muốn bật lại JIT không
    • Nếu họ không muốn mọi người dùng các tính năng chạy nền thì ngay từ đầu đã không đưa chúng vào. Không có gì ngạc nhiên khi Apple muốn người dùng sử dụng các tính năng mà họ cố ý thêm vào, dù chúng có “vô dụng” hay không
    • Nhìn từ góc độ chủ nghĩa tư bản, nếu không nhấn mạnh mạnh mẽ, khách hàng mới dùng Apple có thể bật Lockdown Mode làm mặc định theo lời khuyên của bạn bè hoặc người thân đang lo lắng, rồi phàn nàn với Apple rằng các tính năng được quảng cáo không hoạt động, hoặc trả lại thiết bị
      Nhìn từ góc độ chính trị thực tế, có thể các chế độ đàn áp đã đặt điều kiện rằng họ sẽ cho phép Apple phát hành thiết bị có tính năng này, miễn là Apple không quảng bá tích cực hoặc đặt nó làm mặc định. Nếu ở Trung Quốc Lockdown Mode được bật mặc định và đa số người dùng sử dụng, Apple sẽ nhanh chóng bị đuổi khỏi Trung Quốc
    • Trên Mac, tôi bật Lockdown Mode vì không dùng iMessage, FaceTime hay các dịch vụ Apple khác. Thực chất đó chỉ là máy tính để phát triển phần mềm và xem video YouTube
      Tôi cũng không cảm thấy khác biệt với nội dung web, có thể vì tôi dùng Firefox/Chrome thay vì Safari. Điều tôi thật sự muốn là có lựa chọn. Ví dụ trên iOS tôi dùng album ảnh chia sẻ, nên sẽ tốt nếu có thể giữ tính năng đó và chỉ tắt các tính năng còn lại
    • Khi bật Lockdown Mode, có khá nhiều thứ trở nên kỳ lạ
      Trước hết, Continuity dường như gần như hỏng, mà cá nhân tôi lại khá phụ thuộc vào tính năng này. AirPlay cũng trở nên khá thất thường
      Tất cả có thể đều là vấn đề mạng, nhưng chỉ bắt đầu xảy ra sau khi chuyển sang Lockdown Mode. Ngoài ra, việc yêu cầu Screen Time không hoạt động cũng khá bất tiện
  • Từ trước đến nay iMessage đã có bao nhiêu lỗ hổng rồi?
    Đã đến lúc chỉ cho phép văn bản thuần túy đối với tin nhắn đầu tiên từ liên hệ mới, và với các tin nhắn còn lại cũng chỉ cho phép một tập con cực kỳ hạn chế thay vì một hệ thống mở rộng điên rồ chẳng khác ActiveX là mấy hay chưa?
    Cũng đáng cân nhắc chạy toàn bộ ứng dụng trong sandbox, và như một lớp bảo vệ bổ sung thì xử lý mọi thứ bằng webview

    • Đã có tiền lệ được áp dụng trơn tru rồi. Client Apple Mail không render media từ người gửi không xác định khi chưa có xác nhận của người dùng
      iMessage cũng nên có chính xác hành vi tương tự vì cùng lý do đó. Thật bực bội khi thấy những product manager tham lam làm việc trong cùng một tòa nhà lại phải học lại các bài học mà thế hệ trước đã phải trả giá đau đớn mới học được
    • Không thể tin là chuyện này vẫn cứ lặp lại. Hễ nói “zero click” thì có thể hiểu đó là một trong các payload phức tạp như ảnh hoặc phông chữ
      Câu trả lời không nên là “đừng render ảnh nữa”. Các component phân tích dữ liệu bên ngoài như ảnh phải là những thứ ta có thể tin rằng dù input là gì cũng không thể thực hiện hành vi độc hại
      Nếu cần sandboxing thì cứ làm vậy; nếu phải viết lại toàn bộ image parser bằng ngôn ngữ an toàn từ đầu hoặc chứng minh tính đúng đắn bằng phương pháp hình thức thì cũng cứ làm. Apple có đủ tiền để vận hành chương trình không gian của riêng mình mười lần, nên chắc cũng có thể tạo ra một thư viện ảnh có thể chứng minh được
    • Chuyện này rất khác ActiveX. ActiveX từng có hàng trăm exploit tự do trôi nổi trong các góc tối của usenet, và bị những script kiddie điển hình trong tầng hầm lợi dụng để tấn công máy tính trên toàn thế giới
      iMessage chỉ có một số ít exploit, và được những nơi như NSO cấp phép với giá cực kỳ đắt cho một số rất ít tác nhân quốc gia tồi tệ, dùng trong các cuộc tấn công mục tiêu rủi ro cực cao
    • Mọi process trên iOS đều chạy trong sandbox. Vì vậy việc tạo ra những exploit như thế này mới khó đến vậy
    • Tôi từng thắc mắc liệu có thể thật sự tắt iMessage trên iPhone không. Giờ tôi chỉ dùng WhatsApp, không quan tâm đến SMS được tăng cường
      Tìm ra rồi. Cho ai quan tâm: trên iPhone, vào Settings, nhấn Messages rồi đặt iMessage thành Off là được
  • Lại là buffer overflow khi giải mã ảnh nữa à, nghe giống lỗ hổng năm 2021 [1]
    Lần đó thật sự ấn tượng. Họ đã tạo ra một CPU bằng các phép toán nguyên thủy do một định dạng nén ảnh bí hiểm nhúng trong PDF cung cấp, rồi thực hiện đủ phép toán số học để leo thang tiếp lên thực thi mã tùy ý
    [1]: https://googleprojectzero.blogspot.com/2021/12/a-deep-dive-i...

    • Cũng nhớ đến lỗi render TIF trên iOS 4 mà jailbreakme.com từng dùng. Thật ngầu khi bấm một nút trong Safari, iPod touch khởi động lại và Cydia đã được cài sẵn
    • Vì thế tôi càng thông cảm hơn với việc Chrome vẫn chưa chấp nhận JPEG-XL
      Mong đừng hiểu lầm. Tôi nghĩ JPEG-XL là một ý tưởng hay, nhưng đây chính là câu trả lời cho những người nói “hỗ trợ thêm một định dạng ảnh nữa thì hại gì đâu”
    • Lại là buffer overflow trong giải mã ảnh. Người ta có thể nghĩ Apple sẽ threat modeling và chạy fuzzing đến cùng, nhưng không phải vậy. Một công ty vốn hóa 2,7 nghìn tỷ USD mà không làm nổi chuyện này
    • Có thể là câu hỏi ngớ ngẩn, nhưng tại sao các media decoder vốn khét tiếng rủi ro cao lại không được sandbox cẩn thận?
    • Tôi không rành mảng bảo mật, nhưng chắc sẽ không bao giờ quên chuyện này. Rất cuốn hút
  • Bản sửa lỗi này được phát hành hôm nay và có vẻ được canh thời điểm với thông báo, nên cần kiểm tra xem bản cập nhật của bạn và những người xung quanh đã được áp dụng chưa
    https://support.apple.com/en-us/HT201222

    • Điều thú vị là không thấy nhắc tới lỗ hổng kernel hay gì tương tự
      Theo tôi biết, toàn bộ mã parsing của iMessage phải chạy trong sandbox BlastDoor, vậy có phải còn lỗ hổng khác trong chuỗi khai thác chưa được công bố không?
    • Tôi thắc mắc vì sao vẫn chưa có bản sửa cho iOS 15. iOS 15 không bị ảnh hưởng bởi cuộc tấn công này à? Hay các bản backport vá bảo mật thường bị chậm mà tôi không biết? Nếu vậy thì có nên áp dụng biện pháp workaround để chặn những exploit như thế này không?
  • Chỉ đưa NSO Group vào danh sách đen của Bộ Thương mại rõ ràng là chưa đủ. Lũ rác rưởi này ít nhất, theo nghĩa ẩn dụ, nên bị đưa tới The Hague

  • Nếu tò mò về NSO Group, Pegasus, Citizen Lab, tập 100 của podcast Darknet Diaries tóm tắt lịch sử khá tốt

  • Cần một Lockdown Mode chi tiết hơn. Ví dụ tắt các phần tự động hóa và yếu tố rủi ro của iMessage và Safari, nhưng vẫn để phụ kiện thiết bị hoạt động
    Việc mất cả phụ kiện Bluetooth chỉ để tự bảo vệ khỏi exploit zero click của iMessage là không ổn. iMessage là bề mặt tấn công mở rộng lớn nhất

    • iMessage cũng là một phần lớn trong hào lũy của Apple. Khả năng Apple cho phép một ứng dụng nhắn tin thay thế bong bóng xanh lá có thể an toàn hơn là rất thấp
    • Trong Settings đã có các tùy chọn để “điều chỉnh Lockdown Mode” theo ý thích
      Ví dụ Settings > Messages > iMessage là công tắc có thể tắt nếu bạn cảm thấy iMessage là vấn đề
      Trong Settings > Safari > Privacy and security cũng có nhiều thiết lập để cấu hình khóa chặt Safari chi tiết hơn
  • Tò mò không biết Lockdown Mode có chặn được cuộc tấn công này không
    Từ trước đến nay đã từng có iPhone đang bật Lockdown Mode bị hack bằng lỗ hổng zero-day chưa? Không tính các trường hợp lừa người dùng cài chương trình độc hại

  • Thread liên quan đang diễn ra:
    iOS 16.6.1 fixes two vulnerabilities known to be actively exploited in the wild - https://news.ycombinator.com/item?id=37423506 - Tháng 9 năm 2023, 7 bình luận