Phát hiện mã độc giả cách tắt nguồn iPhone để hack và theo dõi người dùng

www.tuoitre.vn -   20/01/2022 12:00:00 784

Các chuyên gia đã tiết lộ một kỹ thuật vô cùng mới mẻ: đó là việc malware trên iOS có thể tồn tại lâu dài trên một thiết bị bị nhiễm bằng cách giả mạo quá trình tắt nguồn, khiến người dùng không thể xác định rằng Iphone đang bật hay tắt.

Phát hiện mã độc giả cách tắt nguồn iPhone để hack và theo dõi người dùng

Công ty bảo mật trên điện thoại ZecOps đã phát hiện ra và đặt biệt danh cho mã độc này là “NoReboot”. Họ khám phá ra rằng mã độc này có thể chặn và sau đó mô phỏng quá trình khởi động lại của iOS, qua đó đánh lừa người dùng khiến họ tin rằng điện thoại đã được tắt nguồn trong khi thực tế vẫn đang chạy.

Công ty có trụ sở chính tại San Francisco gọi đây là: “Một lỗi dai dẳng […] không thể vá được vì nó không hề khai thác bất kỳ lỗ hổng nào mà chỉ sử dụng mánh khóe với tâm trí con người.”

NoReboot hoạt động bằng cách can thiệp vào quy trình được sử dụng trong iOS để tắt và khởi động lại thiết bị, từ đó ngăn chặn quá trình này xảy ra ngay từ đầu và cho phép trojan có thể hoạt động liên tục vì thiết bị không bao giờ thực sự bị tắt.

Điều này được thực hiện bằng cách chèn một đoạn mã được chế tạo đặc biệt vào ba trình nền (daemons) của iOS, cụ thể là InCallService, SpringBoard và Backboardd. Sau đó nó giả mạo tắt máy bằng cách tắt tất cả các tín hiệu nghe nhìn hiển thị thiết bị đang ở trong trạng thái bật bao gồm màn hình, âm thanh, rung, máy ảnh và phản hồi cảm ứng.

Phát hiện mã độc giả cách tắt nguồn iPhone để hack và theo dõi người dùng

Nói cách khác, ý tưởng của việc này là đánh lừa rằng thiết bị đã tắt mà không thực sự tắt bằng cách chiếm quyền kiểm soát các sự kiện được kích hoạt khi người dùng đồng thời nhấn và giữ nút bên cạnh hông máy và một trong các nút âm lượng đồng thời kéo thanh trượt “Trượt để tắt nguồn”.

Các chuyên gia giải thích: “Mặc dù chúng tôi đã vô hiệu hóa tất cả các phản hồi vật lý, nhưng điện thoại vẫn hoạt động đầy đủ và có khả năng duy trì kết nối internet. Kẻ xấu có thể thao túng điện thoại từ xa một cách trắng trợn mà không lo bị phát hiện vì người dùng bị lừa nghĩ rằng điện thoại đã bị tắt, do nạn nhân tắt hoặc bị kẻ xấu sử dụng ‘pin yếu’ làm cái cớ”.

Mã độc này sau đó buộc SpingBoard, vốn liên quan tới giao diện người dùng của iOS thoát ra (trái ngược với toàn bộ hệ điều hành), tiếp theo là ra lệnh cho BackBoardd – trình nền xử lý tất cả các sự kiện cảm ứng và nút vật lý – hiển thị logo Apple nếu người dùng chọn bật lại điện thoại, trong khi mã độc vẫn tiếp tục chạy.

Phát hiện mã độc giả cách tắt nguồn iPhone để hack và theo dõi người dùng

Ngoài ra về mặt lý thuyết, kỹ thuật này có thể được phát triển để giả mạo quá trình force restart (khởi động nóng) của iPhone bằng cách cố tình làm cho logo Apple xuất hiện sớm hơn vài giây. Một sự kiện như vậy đã được ghi lại qua Backboardd, qua đó đánh lừa nạn nhân nhả nút bên cạnh hông máy mà không thực sự kích hoạt quá trình force restart.

Mặc dù cho đến nay không có malware nào được phát hiện hoặc công khai sử dụng phương pháp tương tự như NoReboot, nhưng những phát hiện này cho thấy rằng ngay cả quá trình khởi động lại của iOS cũng không tránh khỏi việc bị tấn công một khi hacker đã có được quyền truy cập vào thiết bị mục tiêu, một điều mà nằm trong tầm tay của các quốc gia và lính đánh thuê ảo.

Các chuyên gia kết luận: “Một mối đe dọa không có chủ đích (non-persistent threats) đã đạt được sự “bền bỉ” (persistency) mà không khai thác các lỗ hổng dai dẳng (persistence exploits). Một khai thác proof-of-concept (PoC) của NoReboot có thể được truy cập thông qua GitHub tại đây.

 Theo Thehackernews

TIN CÙNG CHUYÊN MỤC

Lỗ hổng bảo mật mức độ nghiêm trọng cao ...

23/02/2024 08:00:00 26
Thông tin chi tiết đã xuất hiện về một lỗ hổng bảo mật mức độ nghiêm trọng cao hiện đã được vá trong...

Apple công bố giao thức PQ3 - Mã hóa hậu...

22/02/2024 08:00:00 27
Apple đã công bố một giao thức mã hóa hậu lượng tử mới có tên PQ3 mà họ cho biết sẽ được tích hợp và...

Lỗ hổng Wi-Fi mới làm cho thiết bị Andro...

21/02/2024 08:00:00 41
Các nhà nghiên cứu an ninh mạng đã xác định được hai lỗ hổng cho phép bỏ qua xác thực trong phần mềm...

Lỗ hổng nghiêm trọng trên WordPress đang...

20/02/2024 08:00:00 27
Một lỗ hổng bảo mật nghiêm trọng trong chủ đề Bricks dành cho WordPress đang bị các tác nhân đe dọa ...

Meta lên tiếng cảnh báo về 8 công ty phầ...

19/02/2024 08:00:00 30
Meta cho biết họ đã thực hiện một loạt bước để hạn chế hoạt động độc hại từ 8 công ty khác nhau có t...

Trojan trên Android mới – Anatsa đã vượt...

16/02/2024 08:00:00 25
Một trojan ngân hàng Android mới có tên Anatsa đã mở rộng trọng tâm tấn công sang Slovakia, Slovenia...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ