Theo ArsTechnica, những nhà nghiên cứu đã cung cấp bằng chứng cho thấy trong hơn 4 năm qua, có hàng nghìn chiếc iPhone thuộc sở hữu của nhân viên công ty bảo mật Kaspersky ở Moscow (Nga) đã bị tấn công bởi phần mềm gián điệp. Những kẻ tấn công đã khai thác lỗ hổng trong một tính năng phần cứng mà ít nhân sự của Apple và công ty thiết kế bán dẫn Arm Holdings biết.
Hiện vẫn chưa được rõ ràng về phương thức tấn công mà nhóm tấn công đã sử dụng để tấn công phần cứng này và các nhà nghiên cứu cũng không biết mục đích đằng sau việc này là gì. Ngoài ra, các chuyên gia cũng không chắc chắn liệu phần cứng bị tấn công là bộ phận gốc của iPhone hay nó đã được kích hoạt bởi một thành phần bên thứ ba như CoreSight của Arm.
Bên cạnh việc xâm nhập vào các mẫu iPhone của nhân viên Kaspersky, phần mềm gián điệp này cũng gây ảnh hưởng đến hàng nghìn chiếc iPhone của những người làm việc tại các đại sứ quán và cơ quan ngoại giao tại Nga.
Làm sao phần mềm gián điệp được phân phối vào iPhone?
Phần mềm này đã được gửi qua tin nhắn iMessage và không yêu cầu người bị hại thực hiện bất kỳ hành động nào. Sau khi bị nhiễm, iPhone sẽ truyền các bản ghi micrô, ảnh, dữ liệu định vị địa lý và thông tin nhạy cảm khác đến các máy chủ mà kẻ tấn công kiểm soát. Dù khởi động lại iPhone có thể giúp thiết bị thoát khỏi sự lây nhiễm, nhưng kẻ tấn công sẽ gửi một văn bản mới chứa phần mềm gián điệp đến cùng một thiết bị và lây nhiễm lại thiết bị mỗi khi nó được khởi động lại.
Trong một email, Boris Larin, nhà nghiên cứu của Kaspersky, đã viết:
Khả năng tinh vi của việc khai thác và sự ẩn danh của phần mềm cho thấy rằng những kẻ tấn công sở hữu những kỹ năng vô cùng tinh vi.
Phần mềm độc hại và cuộc tấn công này được gọi là "Tam giác" - Triangulation và chứa 4 lỗ hổng zero-day. Điều này cho thấy, những kẻ tấn công đã biết về những lỗ hổng này trước khi "Táo Khuyết" phát hiện ra. Apple đã khắc phục các lỗ hổng này, một cách tuần tự là:
CVE-2023-32434
CVE-2023-32435
CVE-2023-38606
CVE-2023-41990
Vấn đề này có nguyên nhân gốc rễ là do các phần cứng bí mật đã được đề cập và không chỉ ảnh hưởng đến các mẫu iPhone mà còn ảnh hưởng đến iPad, iPod, Mac, Apple TV và Apple Watch. Các lỗ hổng zero-day đã được Apple vá trên tất cả các thiết bị nêu trên.
Trong tuyên bố báo chí, Larin từ Kaspersky cũng đưa ra thông tin bổ sung:
Đây không phải là một lỗ hổng thông thường. Do tính chất đóng kín của hệ sinh thái iOS, việc phát hiện lỗ hổng này vừa khó khăn vừa tốn thời gian, đòi hỏi kiến thức toàn diện về cả kiến trúc phần cứng và phần mềm. Điều này có ý nghĩa gì? Khám phá này cho chúng ta thấy, ngay cả các biện pháp bảo vệ dựa trên phần cứng tiên tiến nhất cũng có thể trở nên vô hiệu khi đối mặt với kẻ tấn công tinh vi, đặc biệt là khi có các tính năng phần cứng vượt qua các biện pháp bảo vệ này.
Về việc ai đứng đằng sau vụ tấn công, một số người đã đổ lỗi cho Cơ quan An ninh Quốc gia Mỹ (NSA). Cơ quan An ninh Liên bang Nga cho biết, cuộc tấn công bắt nguồn từ việc NSA và Apple hợp tác, mặc dù Kaspersky khẳng định không có bằng chứng nào cho thấy cả hai có liên quan.
