- Mối đe dọa spyware thuê ngoài nhắm vào các cá nhân có nguy cơ cao lại được xác nhận, Apple thông báo cho người dùng iPhone tại 92 quốc gia về khả năng bị tấn công có chủ đích
- Thông báo lần này cho biết Apple đã phát hiện nỗ lực xâm nhập từ xa vào iPhone liên kết với Apple ID, nhưng không công bố danh tính kẻ tấn công hay các quốc gia bị nhắm tới
- Apple nói rằng không thể chắc chắn tuyệt đối trong việc phát hiện, nhưng nhấn mạnh cảnh báo lần này có độ tin cậy cao và người dùng nên xem xét một cách nghiêm túc
- Kể từ năm 2021, Apple đã gửi các thông báo tương tự cho người dùng tại hơn 150 quốc gia; tháng 10 năm ngoái, hãng cũng gửi cảnh báo cùng loại tới các nhà báo và chính trị gia ở Ấn Độ
- Apple thay cách gọi cũ “state-sponsored” bằng “mercenary spyware attacks”, phân biệt rằng các cuộc tấn công như Pegasus tinh vi và hiếm gặp hơn rất nhiều so với mã độc thông thường
Thông báo đe dọa được gửi tới người dùng iPhone ở 92 quốc gia
- Apple đã gửi thông báo đe dọa cho người dùng cá nhân tại 92 quốc gia vào trưa thứ Tư (giờ Thái Bình Dương)
- Thông báo cảnh báo rằng iPhone liên kết với Apple ID có thể bị xâm nhập từ xa bởi một cuộc tấn công spyware thuê ngoài
- Trong thông báo mà TechCrunch xác nhận, danh tính kẻ tấn công hoặc quốc gia nơi người dùng nhận được cảnh báo không được công bố
- Nội dung chính được gửi tới người dùng như sau
- Cuộc tấn công có thể đã nhắm đích danh họ vì họ là ai hoặc vì công việc họ làm
- Với các cuộc tấn công như vậy, rất khó bảo đảm chắc chắn tuyệt đối trong quá trình phát hiện
- Apple đặt độ tin cậy cao vào cảnh báo này, và người dùng nên xem xét nghiêm túc
- Apple cho biết không thể cung cấp thêm chi tiết về lý do gửi thông báo, vì kẻ tấn công có thể thay đổi phương thức để né tránh việc bị phát hiện trong tương lai
Các thông báo lặp lại và thay đổi thuật ngữ
- Apple cho biết trên trang hỗ trợ rằng hãng gửi loại thông báo này nhiều lần mỗi năm, và kể từ năm 2021 đã thông báo các mối đe dọa tương tự cho người dùng tại hơn 150 quốc gia
- Tháng 10 năm ngoái, cảnh báo tương tự cũng được gửi tới nhiều nhà báo và chính trị gia ở Ấn Độ
- Sau đó, Amnesty International báo cáo rằng họ đã phát hiện spyware xâm nhập Pegasus của công ty spyware Israel NSO Group trên iPhone của các nhà báo lớn ở Ấn Độ
- Những người am hiểu sự việc cho biết trong số người dùng nhận được thông báo đe dọa mới nhất cũng có người dùng ở Ấn Độ
- Thông báo lần này được gửi tới vào thời điểm nhiều quốc gia đang chuẩn bị bầu cử
- Gần đây, nhiều công ty công nghệ đã cảnh báo về sự gia tăng các hoạt động được nhà nước hậu thuẫn nhằm tác động đến kết quả bầu cử cụ thể
- Bản thân thông báo của Apple không đề cập đến thời điểm gửi
- Trước đây Apple gọi các kẻ tấn công là “state-sponsored”, nhưng hiện đã thay thế toàn bộ các cách diễn đạt liên quan bằng “mercenary spyware attacks”
- Các cuộc tấn công spyware thuê ngoài như Pegasus được phân loại là dạng tinh vi hơn rất nhiều và đặc biệt hiếm gặp so với tội phạm mạng thông thường hoặc mã độc dành cho người tiêu dùng
- Apple cho biết họ chỉ sử dụng thông tin tình báo mối đe dọa nội bộ và điều tra để phát hiện các cuộc tấn công kiểu này
- Tài liệu liên quan: Công cụ kiểm tra điện thoại có bị spyware Pegasus của NSO nhắm tới hay không
1 bình luận
Ý kiến trên Hacker News
Có một thread Reddit do một người nhận được cảnh báo kiểu này đăng lên: https://old.reddit.com/r/iphone/comments/1c10jai/i_have_rece...
Điều thú vị là người này khẳng định mình chỉ là một sinh viên đại học bình thường; nếu thật sự là kiểu điệp viên bí mật thì chắc đã không lên Reddit hỏi, nên nghe cũng có vẻ hợp lý
Tôi tò mò không biết hacker chọn mục tiêu theo tiêu chí như số điện thoại hay không. Cũng có thể hình dung là sinh viên này gần đây nhận số mới, và số đó trước đây từng liên quan đến mục tiêu. Dù vậy, tôi nghĩ phải có cách loại bỏ những số đã được biết là mục tiêu
Nếu có thể chiếm quyền kiểm soát một nhà hoạt động để phá vỡ lòng tin thì đó là năng lực rất lớn. Tôi cũng sẽ chẳng ngạc nhiên chút nào nếu backdoor trong xz compression là một nỗ lực của một chính phủ nào đó nhằm có được khả năng hạ bệ hoặc bôi nhọ bất kỳ ai chống lại họ
Nhìn vào Metaverse, spyware kiểu lính đánh thuê, chỉ định mục tiêu trong chiến tranh bằng AI, rồi drone sát thương, tôi cứ tự hỏi ai đã đọc Neuromancer rồi nghĩ: “Đúng là một viễn cảnh tương lai màu hồng! Làm sao để hiện thực hóa tầm nhìn tương lai tuyệt vời này nhỉ?”
Công ty công nghệ: Cuối cùng chúng tôi đã tạo ra Torment Nexus trong tiểu thuyết SF kinh điển “Đừng tạo ra Torment Nexus”
https://twitter.com/AlexBlechman/status/1457842724128833538
Hoặc có thể là những người chưa đọc 1984 nên không hiểu lời cảnh báo đó
Và cuối cùng nó đã không được sửa. Có vẻ chúng ta cứ tiếp tục thúc nhanh hơn, rẻ hơn. Nếu cứ tiếp tục giảm trọng lượng, chẳng bao lâu nữa sẽ phải cắt tay chân. Nếu những quan chức hay quản lý giỏi trước đó đã cắt hết phần mỡ rồi, người tiếp theo sẽ chẳng còn bao nhiêu mỡ để cắt. Hơn nữa, một lượng mỡ nhất định thực ra là tốt
Ở đây cũng có rất nhiều người tin rằng “công nghệ vì công nghệ” là điều tốt, hoặc bất kỳ công nghệ nào về bản chất cũng là tiến bộ của xã hội, và tiến bộ === tốt
Nếu nhận được một thông báo kiểu “Apple đã phát hiện iPhone liên kết với Apple ID -xxx- của bạn đang là mục tiêu của một cuộc tấn công spyware kiểu lính đánh thuê nhằm xâm nhập từ xa”, tôi chắc sẽ nghĩ đó là một phần của trò lừa đảo phishing
Làm sao biết được thứ này là thật? Nếu nó trông khác với những thông báo thường nhận thì càng dễ nghĩ là giả
Sau này mới thấy như bình luận bên dưới nói, có thể xác minh bằng cách đăng nhập vào appleid.apple.com. Như vậy thì đáng tin
https://support.apple.com/en-lamr/102174
Nếu ngân hàng liên hệ về gian lận thẻ tín dụng mà có một nút lớn kiểu “bấm vào đây để đăng nhập”, tôi sẽ rất nghi ngờ. Ngược lại, nếu chỉ có thông tin và kết thúc bằng kiểu “để biết thêm chi tiết, hãy liên hệ chi nhánh gần nhất”, không có liên kết hay số điện thoại, thì ít đáng ngờ hơn
Tôi không hiểu vì sao Pegasus và NSO vẫn được phép tồn tại. Tôi biết đó là công ty Israel, nhưng dù vậy chính phủ Israel đã từng có động thái gì với họ chưa? Đây thực chất là hành vi kiểu quốc gia bất hảo
Người dùng Android có khả năng đang ở tình trạng nghiêm trọng hơn nhiều, chỉ là Google không công khai mà thôi
Nhìn sự việc lần này, tôi đang nghiêm túc cân nhắc chuyển sang Apple. Không phải vì Apple an toàn, mà vì họ có ý chí thông báo cho người dùng đến mức này
Tính chất mã nguồn mở của Android làm tăng khả năng những thứ này được các nhà nghiên cứu bảo mật phát hiện trước. Cũng đừng quên rằng Zerodium vẫn trả nhiều tiền hơn cho Android 0-day so với iOS 0-day
Hơn nữa, khác biệt thiết bị giữa Samsung, Google, Moto, Huawei, v.v. rất lớn, nên để một khai thác đơn lẻ thành công còn khó hơn gấp ba lần
Nghĩa là nếu ca nhiễm cuối cùng được phát hiện, Apple có thể tách riêng điểm xâm nhập của lỗ hổng, rồi quét lại tất cả thiết bị để phát hiện những thiết bị có khả năng đã là mục tiêu của cùng một cuộc tấn công
Ở góc độ tập thể, việc hash dữ liệu có thể đóng vai trò như dấu vân tay là hợp lý. Cực đoan hơn, thậm chí có thể là thứ đơn giản như call stack sau khi nhận iMessage
Ngoài ra, tôi không cho rằng Google có trách nhiệm giám sát và thông báo cho cả điện thoại của các nhà sản xuất khác như Samsung, Motorola
“Các cuộc tấn công spyware kiểu lính đánh thuê, như những cuộc có vẻ dùng Pegasus của NSO Group, là cực kỳ hiếm và tinh vi hơn nhiều so với tội phạm mạng thông thường hay malware dành cho người tiêu dùng”
Nếu vậy, bản thân việc kích hoạt cảnh báo của Apple cho mục tiêu cũng có thể là một phần của chiến dịch tinh vi
Những mục tiêu như vậy sẽ phản ứng, hoặc buộc phải phản ứng, theo một cách nhất định. Tức là dụ người đang ẩn nấp lộ diện và khiến họ phản ứng chỉ bằng cách quan sát hành vi
Sau đó các mục tiêu ấy sẽ làm gì? Đổi điện thoại? Truy cập một dịch vụ số cụ thể? Cảnh báo mạng lưới của họ qua các kênh liên lạc thông thường? Từ góc nhìn của người quan sát thì khá gay cấn
Apple: “Nếu bạn nhận được thông báo mối đe dọa của Apple, chúng tôi đặc biệt khuyến nghị bạn tìm đến sự hỗ trợ chuyên gia, chẳng hạn hỗ trợ bảo mật khẩn cấp phản ứng nhanh do Digital Security Helpline phi lợi nhuận của Access Now cung cấp. Người nhận thông báo mối đe dọa của Apple có thể liên hệ với Digital Security Helpline 24/7 quanh năm qua website. Các tổ chức bên ngoài không có thông tin về nguyên nhân khiến Apple gửi thông báo mối đe dọa, nhưng có thể giúp đưa ra lời khuyên bảo mật phù hợp cho người dùng bị nhắm mục tiêu.”
https://support.apple.com/en-lamr/102174
Amnesty International: “Access Now Helpline và các đối tác xã hội dân sự khác của Security Lab cũng sẵn sàng hỗ trợ những cá nhân đã nhận thông báo của Apple.”
https://securitylab.amnesty.org/latest/2024/04/apple-threat-...
Sau khi FBI bẻ được iPhone vào năm 2018, tôi vẫn thấy ngạc nhiên khi có người còn lưu bí mật trên iPhone
Nếu tò mò tin nhắn thực tế trông như thế nào, có một người dùng Reddit đã đăng kèm phiên bản cũ từ năm 2023. Không phải toàn bộ nội dung đều có trong đó: https://www.reddit.com/r/iphone/comments/1c10jai/i_have_rece...
Spyware này có thể tồn tại là do khiếm khuyết kỹ thuật trong sản phẩm Apple sao?
Nhưng từ trước đến nay chưa từng có phần mềm có ý nghĩa nào hoàn toàn không có những khiếm khuyết như vậy. Nói cách khác, với kiểu tấn công này, tôi nghĩ iOS có khả năng tốt hơn phần lớn các nền tảng khác
https://darknetdiaries.com/episode/100/
Có vẻ thực tế là gần như mọi quốc gia đều liên quan, nên tôi tò mò vì sao thông báo chỉ được gửi tới 92 quốc gia
Không thấy nói đó là 92 quốc gia nào