Apple cảnh báo nhà phát triển công cụ khai thác rằng iPhone của họ đã bị nhắm mục tiêu bởi phần mềm gián điệp của chính phủ

 (techcrunch.com)
2 điểm bởi GN⁺ 2025-10-23 | 1 bình luận | Chia sẻ qua WhatsApp
  • Apple đã gửi cảnh báo cho một nhà phát triển exploit rằng iPhone của ông ấy đã trở thành mục tiêu của phần mềm gián điệp của chính phủ.
  • Nhà phát triển này từng là chuyên gia phát triển lỗ hổng và công cụ iOS zero-day tại Trenchant.
  • Trong vài tháng gần đây, đã xác nhận thêm nhiều nhà phát triển exploit và spyware khác nhận được cảnh báo spyware tương tự.
  • Việc lan rộng của Spywarecông cụ tấn công zero-day cho thấy phạm vi nạn nhân đang mở rộng đến cả các chuyên gia an ninh.
  • Nghi ngờ rò rỉ công cụ hack nội bộ trong công ty chồng chéo với quá trình sa thải, làm dấy lên khả năng rằng ông ta bị chỉ định làm nạn nhân oan.

Tóm tắt vụ việc

  • Vào đầu năm nay, một nhà phát triển công cụ nhận được trên iPhone cá nhân thông báo: “Apple phát hiện iPhone của quý vị đã trở thành mục tiêu của một cuộc tấn công phần mềm gián điệp có chủ đích.”
  • Người này vì lo ngại bị trả đũa đã dùng bí danh Jay Gibson thay vì tiết lộ tên thật.
  • Gibson gần đây phụ trách phát triển lỗ hổng và công cụ iOS zero-day tại Trenchant, một công ty làm công cụ hack cho các chính phủ phương Tây.
  • Ông là trường hợp đầu tiên trong ngành được ghi nhận là nhà phát triển spyware và exploit trở thành mục tiêu trực tiếp của các cuộc tấn công này.

Sau vụ việc

  • Gibson nói rằng ông đã cảm thấy choáng váng tột độ cùng mức sợ hãi cực lớn và lập tức tắt iPhone rồi để sang một bên, sau đó mua điện thoại mới.
  • Ông kể rằng đã có những phản ứng bối rối như gọi cho bố mình, cho thấy tình huống lúc đó vô cùng hỗn loạn.
  • Trong cuộc phỏng vấn với TechCrunch, Gibson nói: “Khi mọi thứ đã tiến đến giai đoạn này, không ai có thể biết điều gì sẽ xảy ra tiếp theo.”

Xuất hiện thêm nạn nhân tương tự trong ngành

  • Ngoài trường hợp của Gibson, việc điều tra cho thấy trong vài tháng gần đây còn có các nhà phát triển spyware và exploit khác cũng nhận cảnh báo spyware từ Apple.
  • Apple không phản hồi yêu cầu bình luận của TechCrunch.

Tác động từ việc lan truyền spyware và công cụ zero-day

  • Trường hợp của Gibson cho thấy khi các công cụ zero-day và spyware được phân phối rộng rãi, đối tượng tấn công đang đa dạng hóa.
  • Các nhà phát triển spyware và công cụ zero-day vốn tuyên bố chính thức rằng công cụ của họ chỉ được các cơ quan chính phủ đáng tin cậy dùng để nhắm vào tội phạm hoặc phần tử khủng bố.
  • Các nhóm nghiên cứu như Citizen Lab thuộc Đại học Toronto, Amnesty International và nhiều nhóm khác đã xác nhận trong 10 năm qua hàng chục trường hợp mà chính phủ lặp đi lặp lại sử dụng các công cụ này nhằm vào đối tượng đối lập, nhà báo, nhà hoạt động nhân quyền và đối thủ chính trị.
  • Trước đây cũng đã có trường hợp các nhà nghiên cứu bảo mật trở thành mục tiêu của nhóm hacker (như các vụ liên quan đến Triều Tiên), nhưng trường hợp bản thân nhà phát triển spyware trở thành mục tiêu vẫn là hiếm.

Điều tra nghi vấn rò rỉ và xung đột nội bộ

Sau cảnh báo của Apple

  • Sau khi nhận cảnh báo, Gibson đã liên hệ với một chuyên gia có kinh nghiệm sâu rộng trong phân tích pháp y tấn công spyware.
  • Kết quả phân tích ban đầu không cho thấy dấu hiệu nhiễm rõ ràng, nhưng chuyên gia khuyến nghị nên thực hiện phân tích pháp y chi tiết hơn.
  • Để phân tích chính xác, cần sao lưu toàn bộ thiết bị của Gibson; tuy nhiên ông từ chối tiếp tục điều tra thêm vì lo ngại về quyền riêng tư và bảo mật.
  • Gần đây, số trường hợp tấn công spyware mà phân tích pháp y không tìm thấy dấu vết rõ ràng cũng đang tăng lên.

Sa thải và xung đột nội bộ

  • Khoảng một tháng trước khi nhận cảnh báo từ Apple, Gibson đã đến văn phòng Trenchant tại London để tham gia hoạt động team building của công ty.
  • Vừa mới đến, ông nhận được thông báo từ quản lý rằng ông bị đình chỉ công việc vì nghi ngờ làm việc song song và phải nộp để kiểm tra/thu hồi toàn bộ thiết bị công ty do nghi ngờ làm việc hai nơi.
  • Khoảng hai tuần sau đó, Gibson nhận được thông báo sa thải chính thức và đề nghị bồi thường.
  • Gibson khẳng định công ty đã chỉ định ông là "con dê tế" (scapegoat) trong vụ rò rỉ công cụ hacking của công ty.
  • Gibson và ba đồng nghiệp xác nhận họ không liên quan đến việc phát triển zero-day cho Chrome; các nhóm nội bộ được tách biệt chặt chẽ theo từng nền tảng.
  • Ba đồng nghiệp cũ của Trenchant đã độc lập xác nhận việc sa thải của Gibson, lý do sa thải cùng các nghi ngờ và tin đồn nội bộ là có cơ sở.

Hàm ý và thông tin bổ sung

  • Vụ việc này là lời cảnh báo sớm cho thấy sự lan truyền của công nghệ spyware đang phơi bày luôn cả các chuyên gia trong ngành an ninh trước nguy cơ bị tấn công.
  • Nó cho thấy nhiều hàm ý về xu hướng chính phủ và các cơ quan sử dụng việc quân sự hóa lỗ hổng bảo mật, rủi ro bảo mật nội bộ, và vấn đề bảo vệ nhà phát triển.
  • Người phát ngôn của L3Harris (công ty mẹ của Trenchant) từ chối đưa ra bình luận chính thức.
  • Gibson và các đồng nghiệp cũ đều cho rằng ông không phải người chịu trách nhiệm vụ rò rỉ và rằng quyết định của công ty là sai.

Bài viết liên quan

1 bình luận

 
GN⁺ 2025-10-23
Nhận xét trên Hacker News

  • Mình từng đi phỏng vấn với các công ty kiểu này (không phải công ty được nhắc đến trong bài). Thực tế, sau khi nhận offer, mình từng nhìn thấy họ đang lợi dụng lỗ hổng theo cách của họ. Mình đoán tình huống này cũng nằm trong cùng bối cảnh đó. Mình không thể nghĩ rằng việc phát triển lại các lỗ hổng này với mục đích tái bán lại có thể diễn ra một cách có lương tâm. Nếu những công ty đó còn sẵn sàng dùng cả công cụ tấn công ngay cả với nhân viên của chính mình thì cũng chẳng có gì cản họ khi dùng chính công cụ ấy đối với nghị viện, tòa án, ngân hàng đầu tư, lãnh đạo IT hay các cá nhân quyền lực thực sự khác; kết quả là năng lực đe dọa, tống tiền những người có ảnh hưởng nhất thế giới sẽ xuất hiện. Chưa kể chuyện họ còn có kế hoạch dùng cho các nhân vật đối lập hay phóng viên nữa — mà bài viết cũng chưa hề nhắc đến.

    • Những công ty này về cơ bản sẽ tự lọc loại những người có đạo đức nghề nghiệp mạnh; trong trường hợp tệ nhất, họ thu hút những người từng nghĩ rằng “muốn bí mật theo dõi người khác”.

    • Nếu hỏi liệu chuyện này có thể được thực hiện một cách lương tâm không, tôi muốn nhấn mạnh rằng hoạt động thu thập thông tin có tính đối nghịch sẽ luôn diễn ra dưới dạng này hay dạng khác, và CNE (Computer Network Exploitation / hoạt động khai thác mạng máy tính) có chi phí và thiệt hại thấp hơn hoạt động tình báo con người. Như vậy, việc công nghệ này bị lạm dụng trên toàn thế giới để nhắm vào nhà bất đồng chính kiến và nhà báo là vấn đề rất nghiêm trọng.

    • Mình cũng không muốn làm việc trong lĩnh vực này (và giờ cũng không còn năng lực cho nó nữa). Nhưng với những người an tâm làm việc trong ngành này cho các nước thành viên NATO thì có lý do vững chắc. Chỉ số người nghi ngờ cơ bản tư pháp/ cơ quan tình báo theo hướng đối lập là cực ít, và có không ít gia đình tự hào khi có người thân làm trong ngành này.

    • Ở đây điểm cực quan trọng là “ý kiến của chúng ta gần như không có ý nghĩa”. Ở mức giá thị trường hiện nay, gần như bất kỳ quốc gia nào cũng có thể mua công nghệ CNE, và nhà cung cấp ngoài NATO cũng đủ khả năng đáp ứng thị trường này.

    • Việc họ thực sự đi đến mức cố gắng tấn công mới là điều gây choáng. Mình tò mò không biết họ đã tấn công cụ thể ra sao: gửi link qua SMS hay theo một cách nào khác.

    • Có thể đây chỉ là một phần trong quy trình phỏng vấn.

    • Chính vì lý do này nên mình không muốn làm việc trong ngành an ninh mạng; quá nguy hiểm, giống như vùng không luật pháp.

  • Mình đọc được câu trong bài: “Gibson có thể là trường hợp đầu tiên được ghi nhận về việc người phát triển vừa trực tiếp tạo lỗ hổng/spyware vừa trực tiếp trở thành nạn nhân tấn công spyware”. Nhưng dường như trong vài tháng gần đây, ngoài Gibson, còn có các nhà phát triển spyware và lỗ hổng khác bị tấn công.

  • Mình quan tâm hơn tới cách Apple ra quyết định trong việc này hơn là drama giữa nhà phát triển và nơi làm việc cũ.

    • Công ty cũ của họ có thể là Wi‑Fi sandbox hoặc dùng thiết bị kiểu Stingray, nhưng trong trường hợp Apple có thể nhận ra lưu lượng này đi qua kênh chính thức iMessage/PushNotification.

  • Từ câu “Tôi đã ở trạng thái hoảng loạn” của Gibson, mình bật cười khi tưởng tượng liệu tên thật của anh ấy có phải là Jay Gibson mà phóng viên viết vậy vì không biết.

  • Mình phải đọc bài “Apple cảnh báo cho developer khai thác” nhiều lần mới hiểu rõ ý. Ban đầu đọc như “một kiểu thông báo của Apple tấn công developer”, rồi sau mới nhận ra là “Apple gửi cảnh báo tới nhà phát triển tạo lỗ hổng bảo mật”.

    • Vậy là Apple đang thông báo cho developer về một “lỗ hổng” sao? :)

  • Rốt cuộc có vẻ như ai đó trong tổ chức đã làm rò rỉ lỗ hổng Chrome và người này bị chọn làm con mồi. Mình vẫn có cảm giác cả bức tranh này có phần như một chuyện dựng sẵn.

  • Người này dù có công cụ để xác nhận bản thân (hoặc các khách hàng cấp trên của họ) có làm rò rỉ gì hay không, vẫn nghĩ rằng họ sẽ không xác minh kỹ “thực sự có chuyện đó hay không”. Quá ngây thơ, có lẽ cũng có động thái kiểu biểu dương cảnh báo.

  • Khi đọc trích dẫn “Tôi đã ở trạng thái hoảng loạn” của Gibson rồi, phần sau bài đi theo hướng: “không thể biết vì sao bị tấn công nếu không có phân tích forensics chi tiết”, “tôi tin rằng cảnh báo đe dọa của Apple có liên quan đến việc rời khỏi Trenchant”. Điều thú vị là: (1) người này chưa bao giờ tưởng tượng chuyện đó có thể xảy ra với mình; (2) trong hoàn cảnh ấy vẫn dám lên phỏng vấn báo chí nhưng lại sợ bị trả đũa. Thành thật mà nói, đến mức này rồi, ai quan tâm thật sự chắc chắn đã biết tên thật rồi.

    • Câu chuyện này, thú thực, để lại mùi hư cấu khá rõ, trừ khi người này là một “người bắn tỉa” chưa quá nổi tiếng trong ngành. Nếu làm nghiên cứu lỗ hổng thì phải nắm hết mọi attack vector. Nếu đang làm ở công ty nhạy cảm như Trenchant thì cũng sẽ không dùng thiết bị Apple cho công việc (ít nhất là hoàn toàn). Bình thường mình sẽ tách riêng một chiếc điện thoại dùng công khai và một chiếc điện thoại riêng đã được tăng cường bảo mật. Khi ghim iPhone vào router để xem packet traffic, sẽ thấy rất nhiều dữ liệu đi về Apple và đứng ngoài tầm kiểm soát. Ngược lại, khi dùng chiếc Android đã custom root và de‑googled mang theo khi đi nước ngoài để làm cùng thử nghiệm thì chỉ còn lại traffic ntp thôi, chủ yếu để tránh sai lệch thời gian chứng chỉ.

    • Trong hoàn cảnh này, lên tiếng với báo chí cũng có thể là lựa chọn chiến lược để ngăn việc biến mất.

  • Khi đọc đoạn “trường hợp đầu tiên có hồ sơ ghi nhận việc Gibson, người làm phần mềm giám sát, tự thân trở thành mục tiêu spyware”, meme “leopards ate my face” chợt hiện lên trong đầu: cuối cùng thì các công cụ này vẫn được làm ra để dùng thật.

    • Đã hơn 20 năm rồi, việc các nhà phát triển lỗ hổng trở thành mục tiêu chính của spyware đã là điều quá quen thuộc trong ngành. Có vẻ phóng viên không rành lắm về ngóc ngách này.

    • Nếu tò mò về meme “leopards ate my face”, bạn có thể xem tại đây

    • Toàn bài giống một tranh cãi kiểu “anh nói ý anh, tôi nói ý tôi” sau khi Gibson bị sa thải khỏi Trenchant/L3Harris.

  • Mình từng rơi vào tình huống tương tự khi làm hợp đồng quốc phòng nên có phần đồng cảm với Gibson. Những công ty này trước tiên hút người vào bằng mức lương đẹp và lời hứa “công việc tử tế”, nhưng sau đó họ bào mòn năng lượng nhân viên để lấy lợi nhuận, khi có vấn đề lại dồn hết trách nhiệm lên người đó (đặc biệt khi tố giác tham nhũng nội bộ hay sai phạm một cách có lương tâm sẽ bị sa thải ngay và bị làm mất tiếng trong ngành). Sẽ tốt nhất khi không làm cho những người như vậy, nhưng vẫn có người vì ý nghĩ ngây thơ về “làm việc chính nghĩa” hay “săn tên ác” mà tiếp tục sa vào những công ty ấy; cuối cùng chỉ toàn thành meme “leopards ate my face”.

    • Mình từng tin câu: “Nếu nhập ngũ, lấy clearance top secret, dạy quản lý LAN và dạy sĩ quan cách chèn hình vào PowerPoint thì sẽ không bao giờ mất việc.” Nhưng thực tế việc đó chỉ là được xem như một linh kiện dễ thay thế trong cuộc chiến PowerPoint của ai đó. Mọi cuộc họp giống một vở kịch rủi ro cao, cứ lập lại “vâng, em hiểu”. Trách nhiệm là tùy chọn, mở miệng là bị cắt ngang ngay; sai sót hàng tỷ đô cũng được gạt đi như “bài học” và người trong cuộc lại nghe những lời đạo đức giả. Đây giống một trò “vua khỏa thân”, ai cũng đeo dây trước cổ, rồi chỉ còn run vì cảm giác lo lắng về bí mật.