Nội dung cập nhật bảo mật của iOS 15.8.5 và iPadOS 15.8.5

Ý kiến trên Hacker News

• Gần đây có khá nhiều ý kiến tiêu cực về UI của Apple, nhưng việc họ vẫn hỗ trợ cả những chiếc điện thoại thực sự rất cũ thì đáng được ghi nhận. Bên Google Pixel thì có cảm giác không thể mong chờ được như vậy lol
  • Các mẫu từ Pixel 8 trở về sau được hỗ trợ 7 năm. Vẫn kém Apple, nhưng khá hợp lý. Pixel 6~7 được hỗ trợ 5 năm, điểm này hơi ngắn. Thứ thực sự khiến người ta phải bật ra tiếng “lol” là các mẫu trước năm 2021 hoặc một số mẫu của Motorola
  • Tôi đang dùng Pixel 3XL, và nếu cài ROM Android mới thì vẫn dùng khá ổn. Thành thật mà nói còn thấy tốt hơn cả một số máy Android giá rẻ đời mới. Tiếc là hỗ trợ chính thức đã kết thúc
  • Chiếc Pixel XL của tôi vẫn chạy tốt để lướt web ban đêm. Tôi khá hoài nghi về nỗi lo “không còn cập nhật hệ thống nữa”. Tôi muốn nghe các nghiên cứu hay trải nghiệm thực tế về những trường hợp thật sự bị lộ rủi ro hoặc bảo mật khi dùng thiết bị cũ
  • Tôi недавно thay pin cho iPhone 12 mini, và hiệu năng vẫn tốt y như lúc mới mua. Sẽ thấy khá tiếc nếu đến một ngày nào đó bị buộc phải ‘nâng cấp’
  • Ở EU, hỗ trợ cập nhật 5 năm đã trở thành yêu cầu tối thiểu, nên giờ Apple xếp ở nhóm dưới nếu so với Google hay Samsung. Trước đây Apple có thể tốt hơn, nhưng hiện nay các hãng khác đang hứa hẹn hỗ trợ mạnh hơn Apple và còn được ràng buộc pháp lý rõ ràng hơn
• Không có gì đáng ngạc nhiên. Trước đây tôi từng họp với Samsung cho công việc để mua vài trăm chiếc điện thoại flagship, nhưng họ nói chỉ vá bảo mật trong 3 năm. Chuyện này vào khoảng năm 2019. Trong khi đó Apple thậm chí tôi còn không cần họp riêng, mà ước tính đã hỗ trợ khoảng 6 năm. Vì vậy xét theo ROI, cho mục đích công việc thì iPhone rõ ràng dùng được lâu hơn. Thế là tôi chỉ mua vài trăm chiếc iPhone và không triển khai Android. Cá nhân tôi từng dùng Nexus S, Nexus 5, nhưng chúng đoản mệnh vì thiếu cập nhật, hỏng nút, hỏng mic, v.v. Sony Xperia Z5 thì vì vấn đề bằng sáng chế ở Bắc Mỹ mà đột ngột bị bỏ cảm biến vân tay, rồi cả Bluetooth audio cũng hỏng nên không hiện tên bài hát. Tất cả chuyện này đều xảy ra trong vòng chưa đến 3 năm. Giờ tôi sẽ không bao giờ dùng điện thoại Android của Sony nữa. Đến mức này thì tôi cũng chán custom ROM và chuyển hẳn sang nhóm “iPhone, it just works”
  • Tham khảo thêm là hiện nay Samsung hỗ trợ 7 năm OS/bảo mật cho flagship, còn dòng Galaxy A entry/tầm thấp-trung cũng được 6 năm
  • “it just works” chỉ là khẩu hiệu quảng bá. Nếu chỉ dùng các tính năng mà đại đa số (trên 95%) dùng thì có thể ổn, nhưng ra ngoài phạm vi đó thì không biết chuyện gì sẽ xảy ra, và cũng khó xử lý sự cố. Nó khép kín và hạn chế. Tôi từng khá xui với Apple. Thiết bị Apple được cấp cho công việc của tôi được hỗ trợ chẳng bao lâu, rồi gặp đủ vấn đề như lỗi cảm ứng, lỗi phần mềm ứng dụng, pin lỗi, hotspot nửa vời. Trên Android tôi không gặp các vấn đề đó. Nếu app bị lỗi thì chỉ cần xóa dữ liệu là xong, còn iOS thậm chí không có chức năng đó nên rất bất tiện. Dạo này email client của một người bạn dùng Apple còn không chạy được trên cả iOS lẫn macOS. Vì lỗi biểu hiện khác nhau tùy dữ liệu và từng OS, có lẽ tôi sẽ phải chạy qua lại giữa hai nơi trong 90 phút để xem trực tiếp. Khi Apple hỏng thì cách tự xử lý quá hạn chế, nên với tôi đây là vendor mà tôi không muốn làm việc. Tất nhiên phần lớn tính năng sẽ “hoạt động tốt”, nhưng Android cũng vậy, và cũng giống như tôi đen đủi với Sony, ở Apple tôi chỉ là gặp đúng ca xấu. Tôi thấy ít nhất việc có thể thay OS khi vấn đề quá nặng, như với Sony, vẫn tốt hơn
• Trong thời gian dài, một nguyên nhân lớn khiến Android khó hỗ trợ lâu dài là các vendor modem/SoC như Qualcomm chỉ cập nhật driver và phần mềm trong vài năm. Với thiết bị trước 2020~2021 thì gần như không có cập nhật kernel driver hay modem. Dĩ nhiên hãng sản xuất vẫn đóng vai trò tích hợp, nhưng kết quả là cả ROM bên thứ ba (ví dụ: lineageos) cũng bị giới hạn thời gian hỗ trợ. Apple xử lý phần lớn linh kiện và phần mềm in-house nên có thể linh hoạt hỗ trợ lâu dài hơn
  • Điểm tôi khó đồng ý với lập luận này là khá nhiều lỗ hổng bảo mật (CVE) thực ra không liên quan tới phần do Broadcom kiểm soát như modem hay baseband driver. Google vẫn có thể vá các phần có rủi ro bị tấn công cao như thư viện hoặc ứng dụng. Thứ tôi lo hơn lại là các lỗ hổng ở khâu “phân tích ảnh trong tin nhắn”. Chỉ cần bấm vào ảnh thôi cũng có thể bị tấn công, và điều này có vẻ là rủi ro thực tế hơn nhiều so với lỗ hổng phía modem
  • Nói vậy cũng đúng, nhưng rốt cuộc đây vẫn là giới hạn mang tính nền tảng của chính thiết kế Android. Tôi nghĩ có thể phê phán Android vì điểm này
  • Nghĩ kỹ thì thật vô lý. Một NIC 20 năm tuổi vẫn còn được Linux kernel hỗ trợ driver, còn driver phần cứng smartphone thì lẽ ra phải được công bố theo GPL. Driver đóng cuối cùng lại bị dùng như công cụ cố ý làm thiết bị chết sớm, tức planned obsolescence
  • Yếu tố bác bỏ lời biện minh quen thuộc này chính là công cụ hợp pháp mang tên ‘hợp đồng’. Sau khi bàn giao dự án vẫn có thể ép bên cung cấp tiếp tục cập nhật bao lâu tùy muốn. Tôi cũng đã làm kiểu hợp đồng này đều đặn trong mảng tư vấn enterprise
  • Tôi nghĩ nếu Google thực sự muốn thì hoàn toàn có thể giải quyết bằng hợp đồng và tiền
• Trong thông báo bảo mật của Apple có câu “có dấu hiệu đã bị khai thác trong các cuộc tấn công tinh vi nhắm vào mục tiêu cụ thể”. Tôi tò mò không biết việc vá bảo mật cho phiên bản cũ như thế này có thể xem là tín hiệu cho thấy lỗ hổng đó cực kỳ nguy hiểm hay không. Tôi cũng muốn biết tiêu chuẩn chính thức về thời gian hỗ trợ bảo mật của Apple là gì
  • Điều đó có nghĩa là đã có trường hợp bị khai thác trong chiến dịch spyware ngoài thực tế. Toàn bộ exploit chain dùng lỗ hổng thứ hai từ phía WhatsApp, và bản thân lỗ hổng này tồn tại trong mọi ứng dụng dùng mô-đun xử lý ảnh mặc định của Apple, nhưng nhờ sandbox của Apple (iMessage có BlastDoor, Safari có web content sandbox, v.v.) nên khả năng bị khai thác nếu không có thêm lỗi khác là thấp. Nhưng nếu chính WhatsApp lại có điểm yếu thì câu chuyện khác hẳn. Với kẻ tấn công spyware, WhatsApp là mục tiêu tốt nhất. Tham khảo: Khuyến cáo bảo mật của WhatsApp
  • Một điểm thú vị là bản vá lần này có trước khi tách nhánh iPadOS, nên iPad cũng nằm trong diện cập nhật. Đây chỉ là suy đoán, nhưng tôi nghĩ các thiết bị POS dùng iPad cũ có thể đã là mục tiêu tấn công. Ở nhà hàng, thay hệ thống POS cũng không phải việc dễ. Nhiều vendor POS còn chặt chém khá nặng

  • Thời gian hỗ trợ bảo mật mặc định của Apple là khoảng bao lâu?
    Thực ra đây chưa phải thứ đã ngừng hỗ trợ từ rất lâu. Bản cập nhật bảo mật cuối của iOS 15 ra vào đầu năm nay, và việc iPhone 6s bị loại khỏi danh sách hỗ trợ OS mới từ iOS 16 cũng chỉ là chuyện của vài năm trước. Với người từng dùng iPhone hơn 5 năm như tôi, việc được hỗ trợ lâu hơn Android nhiều khiến tôi khá biết ơn

  • Có thể xem kiểu backport này là dấu hiệu của lỗ hổng nghiêm trọng không?
    Tôi cũng đang đoán như vậy. Từ góc nhìn người dùng, tôi xem đây là vấn đề nghiêm trọng nằm ngoài khả năng kiểm soát của mình (zero-click). Tất nhiên tôi không biết Apple nghĩ gì, nhưng tôi cũng cùng nhận định đó

  • Không có mốc chính thức chính xác. Nếu là vấn đề thực sự quan trọng thì đôi khi họ vẫn phát hành cập nhật cho cả những bản rất cũ. Ví dụ trước đây Apple từng tung bản cập nhật hết hạn Apple CA cho terminal iPad của Square, gần như cho toàn bộ thiết bị. Có lẽ việc quyết định thời điểm kết thúc hỗ trợ có phản ánh telemetry của Apple (phân tích tình trạng thiết bị) và threat model của họ
• Việc Apple tung cập nhật bảo mật cho thiết bị cũ khá thú vị. Hơn nữa lần này còn đặc biệt vì liên quan tới phòng thủ trước các tác nhân cấp quốc gia (chiến tranh mạng, v.v.)

  Apple biết được báo cáo cho thấy vấn đề này có thể đã bị khai thác trong các cuộc tấn công cực kỳ tinh vi nhằm vào mục tiêu cụ thể

  • Nếu thật sự có khả năng là tấn công cấp quốc gia, tôi nghĩ nên dùng điện thoại mới với OS mới nhất. Điện thoại mới cũng chỉ tốn vài trăm nghìn won, nên nếu bạn lo bị chính phủ tấn công thì hẳn có thể dễ dàng chuyển sang một mẫu phát hành trong vòng 5 năm trở lại đây. Rất đáng giá
  • Thực tế thì có lẽ đây là chiến lược vá trước khi độ khó tấn công và các kỹ thuật hack cấp quốc gia bị phổ biến thành công cụ đại trà, để bảo vệ số lượng lớn người dùng thông thường hơn
• Tôi nghĩ tiêu đề bài viết hơi dễ gây hiểu lầm. Nhìn vào cứ như chỉ iPhone 6s được cập nhật, nhưng thực ra iPhone 6s/7/SE thế hệ 1, iPad Air 2, iPad mini thế hệ 4, và iPod touch thế hệ 7 đều có thể cập nhật. Không phải chỉ nên nhấn mạnh mỗi “iPhone 6s 10 năm tuổi”. Tham khảo thêm là tôi sẽ chưa cập nhật ngay chiếc iPhone 7 và iPad mini làm máy phụ vì còn lo vấn đề jailbreak
  • Có lẽ bài viết chỉ nêu đại diện mẫu cũ nhất. Tôi không nghĩ đó là vấn đề lớn
• Trong tình huống này, ai nhìn cũng thấy rất rõ không khí của một cuộc tấn công cấp quốc gia
  • Tôi đoán là do một quốc gia đơn lẻ thực hiện
• Đúng là Apple hỗ trợ điện thoại khá lâu. Nhưng nói là hỗ trợ 10 năm thì chỉ đúng nếu bạn mua iPhone 6s ngay khi vừa ra mắt với giá cao. iPhone 7(Plus) còn được bán tới tận 2019 và dùng cùng phiên bản OS. Nếu nhìn khắt khe thì nâng cấp OS chỉ khoảng 3 năm, còn vá bảo mật khoảng 6 năm
  • Nếu tính thời gian hỗ trợ từ lúc nhà sản xuất ngừng bán, thì có những máy Android thậm chí số năm hỗ trợ có thể thành âm (-). Và 6 năm kia còn là vẫn “đang tiếp tục được hỗ trợ” đến tận bây giờ
• Apple phát hành bản cập nhật thì là điều tốt. Nhưng nếu chuyện này cho phép cả thực thi mã từ xa (RCE), thì tôi tò mò không biết có phải vì iPhone 6s vẫn còn được dùng rất nhiều nên kẻ tấn công ác ý mới có thể mở các cuộc tấn công trên diện rộng hay không
• “iOS 18.6.1 0-click RCE POC,” 50 bình luận, liên kết liên quan
  • Có cả khuyến cáo bảo mật của WhatsApp dường như chưa được nhắc tới trong thread trước, cũng rất đáng tham khảo. Có vẻ exploit lần này liên kết với vấn đề phía WhatsApp, theo kiểu nạp dữ liệu DNG độc hại vào WhatsApp theo cách “zero-click”. Chưa rõ nó có nối tiếp sang sandbox escape hay lỗ hổng kernel hay không. Có thể nó chỉ dừng lại ở mức chiếm đoạt tin nhắn WhatsApp. Thường để vượt qua bảo mật iOS phải xâu chuỗi nhiều lỗ hổng, nhưng nếu chính ứng dụng mục tiêu cũng có lỗ hổng kiểu này thì việc tấn công sẽ dễ hơn nhiều