Phát hiện mã độc giả cách tắt nguồn iPhone để hack và theo dõi người dùng

www.tuoitre.vn -   20/01/2022 12:00:00 948

Các chuyên gia đã tiết lộ một kỹ thuật vô cùng mới mẻ: đó là việc malware trên iOS có thể tồn tại lâu dài trên một thiết bị bị nhiễm bằng cách giả mạo quá trình tắt nguồn, khiến người dùng không thể xác định rằng Iphone đang bật hay tắt.

Phát hiện mã độc giả cách tắt nguồn iPhone để hack và theo dõi người dùng

Công ty bảo mật trên điện thoại ZecOps đã phát hiện ra và đặt biệt danh cho mã độc này là “NoReboot”. Họ khám phá ra rằng mã độc này có thể chặn và sau đó mô phỏng quá trình khởi động lại của iOS, qua đó đánh lừa người dùng khiến họ tin rằng điện thoại đã được tắt nguồn trong khi thực tế vẫn đang chạy.

Công ty có trụ sở chính tại San Francisco gọi đây là: “Một lỗi dai dẳng […] không thể vá được vì nó không hề khai thác bất kỳ lỗ hổng nào mà chỉ sử dụng mánh khóe với tâm trí con người.”

NoReboot hoạt động bằng cách can thiệp vào quy trình được sử dụng trong iOS để tắt và khởi động lại thiết bị, từ đó ngăn chặn quá trình này xảy ra ngay từ đầu và cho phép trojan có thể hoạt động liên tục vì thiết bị không bao giờ thực sự bị tắt.

Điều này được thực hiện bằng cách chèn một đoạn mã được chế tạo đặc biệt vào ba trình nền (daemons) của iOS, cụ thể là InCallService, SpringBoard và Backboardd. Sau đó nó giả mạo tắt máy bằng cách tắt tất cả các tín hiệu nghe nhìn hiển thị thiết bị đang ở trong trạng thái bật bao gồm màn hình, âm thanh, rung, máy ảnh và phản hồi cảm ứng.

Phát hiện mã độc giả cách tắt nguồn iPhone để hack và theo dõi người dùng

Nói cách khác, ý tưởng của việc này là đánh lừa rằng thiết bị đã tắt mà không thực sự tắt bằng cách chiếm quyền kiểm soát các sự kiện được kích hoạt khi người dùng đồng thời nhấn và giữ nút bên cạnh hông máy và một trong các nút âm lượng đồng thời kéo thanh trượt “Trượt để tắt nguồn”.

Các chuyên gia giải thích: “Mặc dù chúng tôi đã vô hiệu hóa tất cả các phản hồi vật lý, nhưng điện thoại vẫn hoạt động đầy đủ và có khả năng duy trì kết nối internet. Kẻ xấu có thể thao túng điện thoại từ xa một cách trắng trợn mà không lo bị phát hiện vì người dùng bị lừa nghĩ rằng điện thoại đã bị tắt, do nạn nhân tắt hoặc bị kẻ xấu sử dụng ‘pin yếu’ làm cái cớ”.

Mã độc này sau đó buộc SpingBoard, vốn liên quan tới giao diện người dùng của iOS thoát ra (trái ngược với toàn bộ hệ điều hành), tiếp theo là ra lệnh cho BackBoardd – trình nền xử lý tất cả các sự kiện cảm ứng và nút vật lý – hiển thị logo Apple nếu người dùng chọn bật lại điện thoại, trong khi mã độc vẫn tiếp tục chạy.

Phát hiện mã độc giả cách tắt nguồn iPhone để hack và theo dõi người dùng

Ngoài ra về mặt lý thuyết, kỹ thuật này có thể được phát triển để giả mạo quá trình force restart (khởi động nóng) của iPhone bằng cách cố tình làm cho logo Apple xuất hiện sớm hơn vài giây. Một sự kiện như vậy đã được ghi lại qua Backboardd, qua đó đánh lừa nạn nhân nhả nút bên cạnh hông máy mà không thực sự kích hoạt quá trình force restart.

Mặc dù cho đến nay không có malware nào được phát hiện hoặc công khai sử dụng phương pháp tương tự như NoReboot, nhưng những phát hiện này cho thấy rằng ngay cả quá trình khởi động lại của iOS cũng không tránh khỏi việc bị tấn công một khi hacker đã có được quyền truy cập vào thiết bị mục tiêu, một điều mà nằm trong tầm tay của các quốc gia và lính đánh thuê ảo.

Các chuyên gia kết luận: “Một mối đe dọa không có chủ đích (non-persistent threats) đã đạt được sự “bền bỉ” (persistency) mà không khai thác các lỗ hổng dai dẳng (persistence exploits). Một khai thác proof-of-concept (PoC) của NoReboot có thể được truy cập thông qua GitHub tại đây.

 Theo Thehackernews

TIN CÙNG CHUYÊN MỤC

Lỗ hổng bảo mật khiến kẻ xấu hack hệ thố...

01/11/2024 12:00:00 49
Dạng lỗ hổng này cho phép kẻ tấn công khai thác các thiết bị Synology mà không yêu cầu người dùng mở...

Chiến dịch quảng cáo độc hại chiếm đoạt ...

31/10/2024 08:00:00 51
Các nhà nghiên cứu an ninh mạng đã phát hiện ra một chiến dịch quảng cáo độc hại đang diễn ra, lợi d...

Nghiên cứu mới tiết lộ lỗ hổng Spectre v...

30/10/2024 08:00:00 49
Hơn sáu năm sau khi lỗ hổng bảo mật Spectre ảnh hưởng đến bộ xử lý CPU hiện đại được phát hiện, một ...

Kaspersky phát hiện biến thể Lite mới củ...

29/10/2024 08:00:00 47
Tại Hội nghị thượng đỉnh phân tích bảo mật (SAS) 2024, Nhóm nghiên cứu và phân tích toàn cầu của Kas...

Trình duyệt Opera sửa lỗ hổng bảo mật lớ...

28/10/2024 08:00:00 34
Một lỗ hổng bảo mật hiện đã được vá trong trình duyệt web Opera có thể cho phép tiện ích mở rộng độc...

Apple mở mã nguồn PCC cho các nhà nghiên...

24/10/2024 12:00:00 34
Apple đã công khai cung cấp Môi trường nghiên cứu ảo (VRE) Private Cloud Compute (PCC), cho phép cộn...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ

Zalo Button