Chúng ta vẫn thường được nghe nói về khả năng bảo mật cực kỳ tốt của hệ sinh thái iOS (và OS X) của Apple, nhưng có vẻ như giới hắc đạo đang chuyển hướng sang ngắm nghía các sản phẩm của Táo khuyết ngày một đắm đuối hơn. Và mới đây, theo công bố của công ty chuyên về bảo mật Palo Alto Networks thì họ đã phát hiện ra một chủng phần mềm độc hại mới cho phép tấn công lây nhiễm lên tất cả các thiết bị iPhone và iPad. Điều nguy hiểm hơn là phần mềm độc hại này không tấn công theo cách thông thường như các phần mềm độc hại đã từng được biết đến trước đây.
Loại phần mềm độc hại này có tên gọi là AceDeceiver, và không như những người anh em malware khác thường dựa vào các chứng thực an toàn từ doanh nghiệp (enterprise certificate) thì mới cài đặt được lên thiết bị, thay vào đó nó cho phép cài đặt lên thiết bị mà không cần thiết có chứng thực. Hơn thế nữa, đây cũng là phần mềm độc hại đầu tiên có khả năng khai thác các lỗ hổng của cơ chế bảo mật DRM (Digital Rights Management) của Apple, FairPlay, tức nó có thể lây nhiễm lên các thiết bị di động chạy hệ điều hành iOS ngay cả khi các thiết bị này hoàn toàn còn "gin" không hề được jailbreak trước đó.
Cách thức tấn công của AceDeceiver
Thông thường công ty Apple cho phép người dùng mua các ứng dụng từ iTunes client để sau đó cài đặt lên thiết bị chạy iOS của họ. Trong tiến trình xử lý việc mua ứng dụng, thiết bị của người dùng sẽ yêu cầu một mã đã được cấp phép để nhận biết rằng các ứng dụng thật sự được mua. Đây chính là cơ chế bảo mật FairPlay DRM mà AceDeceiver lợi dụng để khai thác.
Khi ấy, tin tặc sẽ áp dụng kỹ thuật tấn công gọi là FairPlay Man-In-The-Middle (MITM) bao gồm việc mua một ứng dụng từ App Store và rồi can thiệp vào việc cấp mã chứng thực giao dịch mua ấy. Cùng với phần mềm chuyên biệt ở trên máy tính, tin tặc sẽ mô phỏng iTunes client để đánh lừa thiết bị của nạn nhân tin rằng ứng dụng đã được mua, mà nhờ đó dễ dàng cài đặt các ứng dụng độc hại khác từ một cửa hàng bên thứ ba trong khi nạn nhân hoàn toàn không hề hay biết.
Sau đây là ảnh minh họa cách thức tấn công của AceDeceiver:
Thật ra kỹ thuật tấn công FairPlay MITM đã từng được sử dụng cách đây ba năm (2013) nhằm truyền đi các ứng dụng iOS lậu, nhưng đây là lần đầu tiên nó được sử dụng để truyền đi các phần mềm độc hại.
Điều tiếp theo người dùng cần lưu ý là phần mềm cài đặt trên máy tính chạy hệ điều hành Windows đóng vai trò hỗ trợ cho việc tấn công có tên Aisi Helper. Được tạo ra hồi năm 2015, Aisi Helper đã được quảng cáo là phần mềm cung cấp các khả năng cài đặt lại hệ thống, jailbreak, sao lưu hệ thống, quản lý thiết bị, và dọn dẹp hệ thống dành cho các thiết bị di động chạy iOS. Tuy nhiên, nó đồng thời có thể cài đặt các ứng dụng độc hại lên bất kỳ thiết bị chạy iOS nào có kết nối với máy tính đã được cài đặt phần mềm Aisi Helper. Sau đó các phần mềm độc hại này có thể kết nối đến một cửa hàng ứng dụng bên thứ ba để tải về các ứng dụng hoặc trò chơi cho thiết bị chạy iOS, và thường thì chúng sẽ đề nghị người dùng cung cấp thêm tài khoản và mật khẩu của Apple ID để mở thêm các tính năng sử dụng. Và tất nhiên là các thông tin ID và mật khẩu này sẽ được tải lên máy chủ của AceDeceiver.
Tuy nhiên, điều nguy hiểm hơn nữa là AceDeceiver thậm chí có thể gây hại mà không cần phải có kết nối với máy tính. Công ty Palo Alto tiết lộ rằng có ba ứng dụng iOS khác nằm trong gia đình AceDeceiver đã được tải lên App Store trong khoảng giữa tháng 7/2015 và tháng 2/2016 là: 壁纸助手 (có nghĩa là “Wallpaper Assistant”), AS Wallpaper, và i4picture. Điều đáng sợ là cả ba ứng dụng nói trên đều vượt qua được sự kiểm tra mã độc nghiêm ngặt từ phía công ty Apple ít nhất bảy lần bởi vì mỗi ứng dụng ấy sẽ có thuật ngụy trang hành xử khác nhau tùy theo vùng địa lý của người dùng. Các ứng dụng này chỉ lộ bộ mặt nguy hiểm khi thiết bị đang ở trên đất Trung Quốc.
Công ty Apple đã tiến hành loại bỏ cả ba ứng dụng này khỏi cửa hàng App Store sau khi nhận được thông báo từ công ty Palo Alto. Tuy vậy, công ty Palo Alto cho biết việc tấn công vẫn khả thi bởi vì kỹ thuật tấn công FairPlay MITM sẽ chỉ cần đến sự hiện diện một lần duy nhất của ba ứng dụng trên App Store. Sau đó, một khi tin tặc đã có được bản sao chép mã xác nhận mua ứng dụng từ Apple, thì các ứng dụng này tiếp tục được phát tán lên các thiết bị khác mà không cần phải hiện diện thật sự trên App Store.
Ở thời điểm hiện tại, AceDeceiver chỉ mới tấn công người dùng iPhone và iPad ở Trung Quốc, nhưng dựa vào thực tế nó có thể tấn công lên cả các thiết bị iOS không jailbreak thì Palo Alto cảnh báo rằng người dùng ở các khu vực khác sẽ sớm bị sờ đến.
Làm cách nào để bảo vệ tránh bị tấn công?
Như đã nói ở trên, hiện AceDeceiver mới chỉ hoành hành ở Trung Quốc, nên xác suất để người dùng khu vực khác bị lây nhiễm là khá thấp. Đồng thời, theo ước tính của công ty Palo Alto thì có khoảng 15 triệu người đang sử dụng phần mềm Aisi Helper, và tất cả đều ở Trung Quốc. Tuy nhiên, cẩn thận củi lửa vẫn hơn, thành thử lưu ý tiên quyết là tránh xa phần mềm Aisi Helper ra dù là việc này có đôi chút khó khăn do phần mềm này có các phiên bản với tên gọi khác nhau.
Trong trường hợp đã lỡ cài đặt Aisi Helper lên máy tính, thì các ứng dụng mà nó cài đặt lên các thiết bị iPhone hoặc iPad của người dùng sẽ có biểu tượng xuất hiện trên máy. Khi ấy người dùng cần ngay lập tức gỡ bỏ bất kỳ ứng dụng nào mà bản thân chắc chắn đã không thực hiện việc cài đặt.
Người dùng đồng thời cũng cần tuyệt đối tránh xa bất cứ cửa hàng ứng dụng bên thứ ba nào, ngoại trừ App Store chính chủ ra. Và quan trọng hơn, không bao giờ cung cấp tên tài khoản Apple và mật khẩu cho bất kỳ ứng dụng bên thứ ba nào hứa hẹn nhờ vào đó sẽ mở thêm các tính năng "hấp dẫn" trong khi người dùng vẫn có thể có được điều tương tự từ cửa hàng App Store chính chủ.
Sau cùng, người dùng cần luôn luôn tải về và cài đặt phiên bản điều hành iOS mới nhất. Với các thông tin có được về AceDeceiver thì hẳn công ty Apple sẽ tung ra bản vá trong lần phát hành cập nhật tương lai. Nên nếu thờ ơ không tải về thì các phiên bản điều hành iOS cũ hơn rất dễ trở thành đích ngắm hở hang cho tin tặc.
Nguồn Digital Trends
