Phát hiện mã độc giả cách tắt nguồn iPhone để hack và theo dõi người dùng

Các chuyên gia đã tiết lộ một kỹ thuật vô cùng mới mẻ: đó là việc malware trên iOS có thể tồn tại lâu dài trên một thiết bị bị nhiễm bằng cách giả mạo quá trình tắt nguồn, khiến người dùng không thể xác định rằng Iphone đang bật hay tắt.

Công ty bảo mật trên điện thoại ZecOps đã phát hiện ra và đặt biệt danh cho mã độc này là “NoReboot”. Họ khám phá ra rằng mã độc này có thể chặn và sau đó mô phỏng quá trình khởi động lại của iOS, qua đó đánh lừa người dùng khiến họ tin rằng điện thoại đã được tắt nguồn trong khi thực tế vẫn đang chạy.

Công ty có trụ sở chính tại San Francisco gọi đây là: “Một lỗi dai dẳng […] không thể vá được vì nó không hề khai thác bất kỳ lỗ hổng nào mà chỉ sử dụng mánh khóe với tâm trí con người.”

NoReboot hoạt động bằng cách can thiệp vào quy trình được sử dụng trong iOS để tắt và khởi động lại thiết bị, từ đó ngăn chặn quá trình này xảy ra ngay từ đầu và cho phép trojan có thể hoạt động liên tục vì thiết bị không bao giờ thực sự bị tắt.

Điều này được thực hiện bằng cách chèn một đoạn mã được chế tạo đặc biệt vào ba trình nền (daemons) của iOS, cụ thể là InCallService, SpringBoard và Backboardd. Sau đó nó giả mạo tắt máy bằng cách tắt tất cả các tín hiệu nghe nhìn hiển thị thiết bị đang ở trong trạng thái bật bao gồm màn hình, âm thanh, rung, máy ảnh và phản hồi cảm ứng.

Nói cách khác, ý tưởng của việc này là đánh lừa rằng thiết bị đã tắt mà không thực sự tắt bằng cách chiếm quyền kiểm soát các sự kiện được kích hoạt khi người dùng đồng thời nhấn và giữ nút bên cạnh hông máy và một trong các nút âm lượng đồng thời kéo thanh trượt “Trượt để tắt nguồn”.

Các chuyên gia giải thích: “Mặc dù chúng tôi đã vô hiệu hóa tất cả các phản hồi vật lý, nhưng điện thoại vẫn hoạt động đầy đủ và có khả năng duy trì kết nối internet. Kẻ xấu có thể thao túng điện thoại từ xa một cách trắng trợn mà không lo bị phát hiện vì người dùng bị lừa nghĩ rằng điện thoại đã bị tắt, do nạn nhân tắt hoặc bị kẻ xấu sử dụng ‘pin yếu’ làm cái cớ”.

Mã độc này sau đó buộc SpingBoard, vốn liên quan tới giao diện người dùng của iOS thoát ra (trái ngược với toàn bộ hệ điều hành), tiếp theo là ra lệnh cho BackBoardd – trình nền xử lý tất cả các sự kiện cảm ứng và nút vật lý – hiển thị logo Apple nếu người dùng chọn bật lại điện thoại, trong khi mã độc vẫn tiếp tục chạy.

Ngoài ra về mặt lý thuyết, kỹ thuật này có thể được phát triển để giả mạo quá trình force restart (khởi động nóng) của iPhone bằng cách cố tình làm cho logo Apple xuất hiện sớm hơn vài giây. Một sự kiện như vậy đã được ghi lại qua Backboardd, qua đó đánh lừa nạn nhân nhả nút bên cạnh hông máy mà không thực sự kích hoạt quá trình force restart.

Mặc dù cho đến nay không có malware nào được phát hiện hoặc công khai sử dụng phương pháp tương tự như NoReboot, nhưng những phát hiện này cho thấy rằng ngay cả quá trình khởi động lại của iOS cũng không tránh khỏi việc bị tấn công một khi hacker đã có được quyền truy cập vào thiết bị mục tiêu, một điều mà nằm trong tầm tay của các quốc gia và lính đánh thuê ảo.

Các chuyên gia kết luận: “Một mối đe dọa không có chủ đích (non-persistent threats) đã đạt được sự “bền bỉ” (persistency) mà không khai thác các lỗ hổng dai dẳng (persistence exploits). Một khai thác proof-of-concept (PoC) của NoReboot có thể được truy cập thông qua GitHub tại đây.

 Theo Thehackernews