Vì ‘Lockdown Mode’ trên iPhone, FBI không thể mở iPhone của một phóng viên Washington Post

 (404media.co)
1 điểm bởi GN⁺ 2026-02-05 | 1 bình luận | Chia sẻ qua WhatsApp
  • Một chiếc iPhone bật Lockdown Mode đã khiến FBI không thể phân tích pháp y thiết bị bị tịch thu, theo các tài liệu tòa án
  • Chiếc iPhone của một phóng viên Washington Post đang bật nguồn khi bị thu giữ, nhưng ở trạng thái Lockdown Mode nên không thể trích xuất dữ liệu
  • Tài liệu của chính phủ nêu rõ Computer Analysis Response Team (CART) của FBI đã không thể trích xuất dữ liệu từ chiếc iPhone này
  • Lockdown Mode ban đầu được thiết kế để phòng vệ trước spyware nhắm mục tiêu ở mức độ cao, nhưng cũng được xác nhận là có tác dụng hạn chế cả truy cập pháp y vật lý
  • Đây là một ví dụ cho thấy các tính năng bảo mật nâng cao của Apple có thể chặn khả năng truy cập số của cơ quan điều tra, đồng thời cho thấy thế cạnh tranh giữa việc tăng cường bảo mật di động và hoạt động pháp y của cơ quan thực thi pháp luật

Tổng quan vụ việc

  • Nhà của phóng viên Washington Post Hannah Natanson đã bị FBI khám xét vào tháng 1 năm 2026 như một phần của cuộc điều tra rò rỉ thông tin mật
  • Cuộc điều tra liên quan đến cáo buộc nhà thầu chính phủ Aurelio Perez-Lugones lưu giữ và chuyển giao thông tin mật
  • Chính phủ cho rằng Perez-Lugones là nguồn đã cung cấp thông tin mật cho Natanson

Thiết bị bị thu giữ và kết quả truy cập

  • Các thiết bị bị thu giữ gồm iPhone 13, 2 máy MacBook Pro, ổ cứng ngoài và máy ghi âm
  • Chiếc iPhone đang được sạc và bật nguồn, trên màn hình hiển thị ‘Lockdown Mode’
  • Theo tài liệu tòa án, có ghi rõ rằng “do Lockdown Mode, CART đã không thể trích xuất dữ liệu từ chiếc iPhone này”
  • Sau khi bị thu giữ, FBI vẫn không thể truy cập iPhone trong hơn khoảng 2 tuần

Ý nghĩa kỹ thuật của Lockdown Mode

  • Lockdown Mode giảm thiểu bề mặt tấn công của iOS bằng cách hạn chế tệp đính kèm trong tin nhắn, kết xuất web, kết nối FaceTime và nhiều yếu tố khác
  • Khi kết nối thiết bị ngoài, việc mở khóa thiết bị là bắt buộc
  • Nó chặn các đường truy cập chính của công cụ pháp y dựa trên kết nối vật lý như Graykey và Cellebrite
  • CEO của công ty pháp y số Garrett Discovery cho biết “nhiều kỹ thuật điều tra nâng cao bị Lockdown Mode chặn lại”

Xác thực sinh trắc học và việc buộc mở khóa theo pháp lý

  • Lệnh khám xét bao gồm quyền buộc sử dụng vân tay hoặc nhận diện khuôn mặt để mở khóa
  • Natanson không dùng xác thực sinh trắc học trên iPhone, và trong trạng thái Lockdown Mode thì ngay cả việc thử cũng không thể thực hiện
  • Trong khi đó, chiếc MacBook Pro thứ hai đã được mở khóa thành công bằng nhận diện vân tay

Dữ liệu có thể truy cập

  • FBI đã thu được ảnh chụp và bản ghi âm giọng nói của các cuộc trò chuyện trong ứng dụng Signal từ chiếc MacBook Pro đã được mở khóa
  • Tuy vậy, ngay cả với chiếc laptop đó, họ vẫn chưa lấy được toàn bộ ảnh vật lý (full physical image)

Cuộc cạnh tranh bảo mật giữa cơ quan điều tra và nền tảng

  • Có thông tin cho biết Apple trong năm 2024 cũng đã thay đổi để iPhone tự động khởi động lại sau thời gian dài không sử dụng
  • Điều này khiến thiết bị chuyển sang trạng thái BFU (Before First Unlock), làm tăng độ khó của công tác pháp y
  • Vụ việc này được ghi nhận là một trường hợp cho thấy việc tăng cường bảo mật phần mềm hoạt động hiệu quả trong thực tế điều tra

Phản hồi chính thức

  • Apple và Washington Post đã không phản hồi yêu cầu bình luận
  • FBI từ chối bình luận chính thức về vụ việc này

Bài viết liên quan

1 bình luận

 
GN⁺ 2026-02-05
Ý kiến trên Hacker News
  • Liên kết lưu trữ bài viết gốc
  • Cần nhớ rằng có thể bị buộc dùng Touch ID, nhưng không thể bị buộc phải cung cấp mật mã
    Theo tweet liên quan, FBI đã dùng Touch ID trên MacBook công việc của phóng viên Hannah Natanson để truy cập tin nhắn Signal. Vì laptop cho phép xác thực bằng Touch ID nên về mặt pháp lý họ có thể yêu cầu mở khóa
    • Chia sẻ liên kết mirror Twitter, với ý định không trực tiếp ủng hộ nền tảng thuộc sở hữu của một tỷ phú nào đó
    • Lệnh thiết lập chế độ ngủ cho MacBook từng được đề xuất trong một vấn đề khác cũng hữu ích ở đây
      Xem liên kết giải thích. Khi laptop được gập lại hoặc chuyển sang chế độ ngủ, RAM sẽ được ghi xuống đĩa và máy sẽ tắt nguồn hoàn toàn. Tốc độ khôi phục sẽ chậm hơn, nhưng ở lần mở khóa đầu tiên sẽ không cho phép xác thực vân tay nên có thể duy trì mức bảo mật kiểu cold boot
    • Nếu không cung cấp mật mã, có thể bị giam tối đa 18 tháng vì khinh thường tòa án (contempt)
      Trường hợp liên quan
    • Quyền của chúng ta không đến từ luật tự nhiên, mà là thứ phải đấu tranh để được chính quyền tôn trọng
    • Tò mò liệu bản thân kiến thức về việc dùng ngón tay nào có được bảo vệ tương đương mật mã hay không
      Cơ quan thực thi pháp luật có thể ép đặt ngón tay lên thiết bị, nhưng có quyền từ chối tiết lộ ngón nào là đúng. Thử sai vài lần thì thiết bị sẽ khóa và yêu cầu nhập mật mã. Vì vậy tôi đùa rằng tốt hơn là dùng mũi con chó của mình
  • Lockdown Mode của Apple gây bực mình vì quá kiểu “tất cả hoặc không có gì”
    Tôi chỉ muốn bật một số tính năng nhất định thôi (chặn FaceTime từ người lạ, tắt xem trước liên kết, chặn kết nối thiết bị ngoài khi máy bị khóa, v.v.), chứ không muốn các hạn chế còn lại. Sẽ tốt hơn nếu có thể bật tắt từng tùy chọn chi tiết.
    Ví dụ, vô hiệu hóa JavaScript JIT ảnh hưởng xấu đến hiệu năng web và pin. Album được chia sẻ hay cài font tùy chỉnh cũng bị chặn. Việc thiếu các thiết lập bảo mật chi tiết như vậy lại làm suy yếu bảo mật
    • Tôi cũng đồng cảm với hạn chế về album được chia sẻ. Mãi sau tôi mới nhận ra rằng khi bật Lockdown Mode thì không thể xem album gia đình. Tôi đã phải tắt tạm thời, chia sẻ ảnh rồi bật lại.
      Ngoài ra, yêu cầu Screen Time cũng không hoạt động. Thông báo vẫn hiện nhưng không thể phản hồi.
      Tôi hiểu vì sao Apple thiết kế theo kiểu tất cả hoặc không có gì — chỉ cần cho phép một thiết lập rủi ro thì toàn bộ mô hình bảo mật có thể sụp đổ.
      Tuy vậy, bất tiện lớn nhất là khi có sự cố thì không biết có phải do Lockdown Mode hay không, nên thường xuyên phải tắt rồi bật lại
    • Ý là ngay cả trong Lockdown Mode cũng không thể thay đổi profile. Các profile hiện có vẫn được giữ nguyên
    • Album gia đình vẫn hoạt động trong Lockdown Mode. Cũng có thể gỡ bỏ hạn chế web theo từng ứng dụng và từng website
    • Việc vô hiệu hóa JavaScript JIT trên trình duyệt ngược lại còn dạy một bài học rằng “lướt web bằng smartphone vốn đã là một ý tưởng tồi”
  • Thật đáng tiếc khi ứng dụng Signal trên desktop của nhà báo bị xâm nhập. Bản desktop dễ tổn thương hơn nhiều nếu laptop rơi vào tay kẻ tấn công
    • Có người yêu cầu giải thích cụ thể vì sao Signal trên desktop lại kém an toàn hơn
    • Nếu không bật tự động xóa cho các tin nhắn nhạy cảm thì cũng chẳng khác gì tin nhắn SMS thông thường
    • Với cấp độ nhà báo như vậy, tôi tưởng họ sẽ giữ vệ sinh bảo mật cơ bản. Mong rằng vụ việc này sẽ là lời cảnh tỉnh cho các nhà báo khác
    • Kết luận trong bài có vẻ đáng ngờ. Không rõ là họ không mở được iPhone, hay là nhờ đồng bộ iCloud mà đã lấy đủ dữ liệu cần thiết rồi. Nếu đã nắm được laptop thì có lẽ họ cũng đã có iMessage, lịch sử cuộc gọi và dữ liệu iCloud, nên tự hỏi vì sao còn nhắm vào điện thoại
    • Cũng tò mò liệu mã hóa đĩa như BitLocker hay FileVault đã bị vượt qua hay là họ chỉ truy cập khi máy vốn đã khởi động sẵn
  • Nếu Lockdown Mode đã chặn được thì có phải điều đó ám chỉ rằng với thiết lập bảo mật thấp hơn, chính phủ đã có thể xâm nhập không?
    Có thể dùng Advanced Data Protection để bảo vệ dữ liệu iCloud bằng E2EE, và Face ID có thể bị ép mở, nhưng nếu bấm nút nguồn 5 lần để chuyển sang chế độ PIN thì về mặt pháp lý sẽ không thể bị ép.
    Nếu Lockdown Mode đã chặn được, có phải điều đó nghĩa là chính phủ có zero-day không hiệu quả với chế độ PIN?
    • Những gì chính phủ dùng phần lớn là spyware như Pegasus của NSO Group
    • Đúng vậy
  • Nhà báo nói rằng “không dùng nhận diện vân tay”, nhưng khi điều tra viên đặt ngón tay lên thì laptop vẫn mở, điều này khá khó hiểu
    • Có lẽ trước đây đã thiết lập rồi quên mất. Cũng có thể đã đăng ký trong quá trình thiết lập ban đầu
    • Nếu đúng như vậy thì có phải trước đây đã từng đăng ký không? Tò mò không hiểu nó nhận diện vân tay bằng cách nào
    • Cũng có bình luận hỏi vì sao điều đó lại khó hiểu
    • Nếu không đăng ký vân tay thì vốn dĩ không thể nhận diện được. Kể cả lỗi cảm biến thì mặc định cũng không thể mở khóa
  • Cách diễn đạt “Lockdown Mode là một tính năng khiến việc hack trở nên khó hơn” khá thú vị
    Một tính năng mà lại là tắt bớt tính năng khác, nghe như nên gọi là một thiết lập (setting) thì đúng hơn.
    Hầu hết người dùng iPhone không thay đổi thiết lập mặc định. Lý do Google trả cho Apple hàng chục tỷ USD cũng là vì thiết lập tìm kiếm mặc định.
    Lockdown Mode không phải mặc định, và gần như chẳng ai dùng.
    Nếu chế độ này làm iPhone an toàn hơn thì hóa ra thiết lập mặc định lại là thứ khiến việc hack dễ hơn
    • Lockdown Mode là tính năng bảo vệ dành cho một nhóm nhỏ như nhà báo hay nhà hoạt động nhân quyền, những người có thể trở thành mục tiêu của các cuộc tấn công kiểu Pegasus.
      Chặn tệp đính kèm trong tin nhắn, chặn FaceTime từ người lạ, hạn chế tính năng Safari... đều khá bất tiện với người dùng phổ thông.
      Vì vậy để nó thành mặc định là không thực tế, và cũng không giúp ích nhiều cho bảo mật của người dùng phổ thông
    • Giảm bề mặt tấn công đồng thời cũng có thể giảm thu thập dữ liệu và theo dõi quảng cáo, ảnh hưởng đến doanh thu của Apple.
      Đây cũng có thể là lý do nó không phải thiết lập mặc định
  • Ở một số nơi, Face ID an toàn hơn vân tay. Vì khi nhắm mắt thì không thể mở khóa
    Ở một số quốc gia châu Âu, việc ép đặt ngón tay được cho phép, nhưng ép mở mắt lại là bất hợp pháp
    • Nhưng cũng có ý kiến phản bác rằng thực tế họ đã từng thấy Face ID hoạt động với khuôn mặt của người đang ngủ
  • Việc phải bật toàn bộ Lockdown Mode chỉ để bảo vệ kết nối thiết bị ngoài là không hiệu quả
    Tôi không kết nối iPhone với bất kỳ thiết bị nào ngoài nguồn điện.
    Nếu có riêng “chế độ bảo vệ phụ kiện ngoài” thì tôi sẽ bật ngay, nhưng Apple lại cảnh báo rằng “thiết bị sẽ không hoạt động như bình thường”
    • Từ iOS 26, trong Privacy & Security > Wired Accessories có thể đặt để luôn hỏi có cho phép truy cập hay không mỗi khi kết nối thiết bị mới
    • GrapheneOS mặc định chỉ cho cấp nguồn khi máy đang khóa, và nhờ chặn ở mức phần cứng nên hoàn toàn miễn nhiễm với công cụ tấn công qua USB
    • Thực ra từ năm 2014 ai cũng có thể triển khai điều này bằng tính năng Pair Lock/Supervise
      Xem bài viết năm 2014hướng dẫn gần đây
    • Đường dẫn thiết lập là Settings > Privacy & Security > Wired Accessories, có thể đặt để hỏi mỗi lần kết nối phụ kiện mới
    • Vấn đề lớn nhất là việc không có thiết lập bảo mật chi tiết khiến người dùng từ bỏ bảo mật