Phần mềm gián điệp như Pegasus có thể đọc tin nhắn Signal trực tiếp từ bộ nhớ thiết bị sau khi đã được giải mã, minh chứng rằng bảo mật giao thức mạnh nhất thế giới có thể bị vô hiệu hóa hoàn toàn bởi sự xâm phạm thiết bị đầu cuối – một bề mặt tấn công mà mã hóa đầu cuối không được thiết kế để bảo vệ.
Giới thiệu
Bài viết này phân tích tấn công vào thiết bị đầu cuối (endpoint attack) – giới hạn quan trọng nhất và ít được thảo luận nhất của mã hóa đầu cuối. Signal Protocol cung cấp một trong những kiến trúc mã hóa mạnh nhất thế giới: X3DH thiết lập khóa phiên với xác thực lẫn nhau, Double Ratchet mã hóa từng tin nhắn với bảo mật chuyển tiếp, PQXDH bổ sung bảo vệ hậu lượng tử. Tuy nhiên, tất cả bảo mật đó có thể bị vô hiệu hóa hoàn toàn bởi một sự thật đơn giản: để tin nhắn có ích, nó phải được giải mã và hiển thị trên thiết bị của người nhận. Tại điểm đó – khi tin nhắn đã được giải mã trong bộ nhớ thiết bị và hiển thị trên màn hình – mã hóa đầu cuối đã hoàn thành nhiệm vụ của nó và không thể bảo vệ thêm.
Phần mềm gián điệp thương mại (commercial spyware) như Pegasus của NSO Group, Predator của Cytrox hay FinFisher khai thác chính xác điểm này: thay vì tấn công lớp mã hóa (không thể phá vỡ trong điều kiện thực tiễn), chúng tấn công thiết bị vật lý – hệ điều hành iOS hay Android – để có quyền đọc bộ nhớ thiết bị sau khi tin nhắn đã được giải mã. Kết quả là tin nhắn Signal, WhatsApp và mọi ứng dụng mã hóa khác đều có thể đọc được, ảnh chụp màn hình có thể thực hiện, micro và camera có thể bật lén, và toàn bộ hệ thống file có thể truy cập.
Đây không phải tấn công giả thuyết: Pegasus đã được ghi lại xâm phạm thiết bị của nhà báo, nhà hoạt động nhân quyền, luật sư, nhà kinh doanh và thậm chí lãnh đạo nhà nước ở nhiều quốc gia. Project Pegasus – điều tra báo chí quốc tế phối hợp bởi Forbidden Stories và Amnesty International năm 2021 – xác định hơn 50.000 số điện thoại là mục tiêu tiềm năng của Pegasus ở hơn 50 quốc gia, bao gồm nhiều nhà báo và thành viên xã hội dân sự. Bài viết này phân tích cơ chế kỹ thuật của tấn công endpoint, các loại phần mềm gián điệp khác nhau, lịch sử sử dụng thực tế và các biện pháp giảm thiểu có thể áp dụng.
Bề mặt tấn công của thiết bị đầu cuối
Để hiểu tại sao phần mềm gián điệp thành công trong khi mã hóa thất bại, cần hiểu mô hình bảo mật của thiết bị di động và những điểm yếu cơ bản của nó.
Mô hình bảo mật của iOS và Android
Cả iOS và Android đều được xây dựng trên mô hình sandbox (hộp cát): mỗi ứng dụng chạy trong môi trường cách ly, chỉ có thể truy cập dữ liệu của chính mình và các tài nguyên hệ thống được cho phép rõ ràng. Ứng dụng Signal không thể đọc bộ nhớ của ứng dụng WhatsApp và ngược lại. Mô hình này cung cấp cách ly hiệu quả giữa các ứng dụng không tin cậy lẫn nhau.
Tuy nhiên, sandbox hoạt động trong điều kiện kernel hệ điều hành không bị xâm phạm. Kernel là hạt nhân của hệ điều hành, có quyền truy cập toàn bộ mọi tài nguyên phần cứng và phần mềm của thiết bị – bao gồm bộ nhớ của tất cả tiến trình, hệ thống file, camera, micro và mạng. Nếu kẻ tấn công có được quyền thực thi code ở cấp kernel (hay ở các tầng quyền cao tương đương như TrustZone trên ARM), toàn bộ mô hình sandbox sụp đổ: kẻ tấn công có thể đọc bộ nhớ của bất kỳ tiến trình nào kể cả Signal, bỏ qua hoàn toàn mã hóa đầu cuối.
Lỗ hổng bảo mật (vulnerability) là lỗi trong phần mềm cho phép kẻ tấn công thực thi code ngoài dự kiến hay leo thang quyền hạn. Trong iOS và Android, phần mềm gián điệp thường khai thác chuỗi nhiều lỗ hổng:
Lỗ hổng đầu tiên (entry point): thường trong trình xử lý nội dung như trình duyệt WebKit (Safari), iMessage, WhatsApp hay ứng dụng xử lý PDF/hình ảnh. Khai thác lỗ hổng này cho phép thực thi code với quyền của ứng dụng bị khai thác – không cao, nhưng đủ để bắt đầu.
Lỗ hổng leo thang quyền (privilege escalation): từ quyền ứng dụng, kẻ tấn công khai thác lỗ hổng khác để leo lên quyền kernel. Điều này thường khai thác lỗ hổng trong trình điều khiển thiết bị (device driver), subsystem quản lý bộ nhớ hay cơ chế IPC (Inter-Process Communication).
Thoát sandbox (sandbox escape): sau khi có quyền kernel, kẻ tấn công vô hiệu hóa các cơ chế cách ly và cài cắm code vào hệ thống.
Duy trì quyền truy cập (persistence): cài cắm phần mềm gián điệp vào các vị trí hệ thống có thể tồn tại qua khởi động lại thiết bị.
Zero-click và one-click vulnerabilities
Các lỗ hổng được phần mềm gián điệp khai thác được phân loại theo số hành động người dùng cần thực hiện:
Zero-click vulnerability (lỗ hổng không cần nhấp chuột) là loại nguy hiểm nhất: thiết bị bị xâm phạm mà người dùng không cần làm gì và không nhận thấy bất kỳ dấu hiệu bất thường nào. Thiết bị tự động xử lý dữ liệu độc hại đến từ internet (tin nhắn iMessage, tin nhắn WhatsApp, email, push notification) và quá trình xử lý đó khai thác lỗ hổng trong code phân tích cú pháp hay định dạng. Ví dụ điển hình là lỗ hổng FORCEDENTRY (CVE-2021-30860) trong trình phân tích PDF của Apple được Pegasus sử dụng năm 2021: việc gửi một tệp GIF độc hại qua iMessage (không cần mở, chỉ cần được nhận) đủ để khai thác lỗ hổng trong thư viện xử lý ảnh CoreGraphics và cuối cùng chiếm toàn bộ quyền kiểm soát thiết bị iPhone đang chạy iOS 14.7.1.
One-click vulnerability (lỗ hổng cần một nhấp chuột) yêu cầu người dùng nhấp vào một liên kết hay mở một tệp đính kèm. Vẫn nguy hiểm vì có thể được thực hiện qua kỹ thuật social engineering (ví dụ: gửi liên kết trông hợp lệ qua SMS hay email) mà người dùng không nghi ngờ. Nhiều cuộc tấn công Pegasus sớm hơn dùng phương pháp này trước khi zero-click trở thành tiêu chuẩn trong phiên bản hiện đại.
Thị trường zero-day (lỗ hổng chưa được vá, chưa được nhà sản xuất biết đến) cho iOS zero-click có giá cực kỳ cao: Zerodium – công ty môi giới lỗ hổng bảo mật – đã công bố sẵn sàng trả đến 2,5 triệu USD cho một chuỗi zero-click iOS cho phép thoát khỏi sandbox hoàn toàn. Mức giá này phản ánh độ khó khai thác và giá trị thị trường của khả năng xâm phạm thiết bị iOS không cần tương tác người dùng.
Pegasus và NSO Group – phần mềm gián điệp tiên tiến nhất đã biết
Pegasus của NSO Group là phần mềm gián điệp thương mại được phân tích chi tiết nhất và tiên tiến nhất đã biết công khai, cung cấp một trường hợp điển hình để hiểu khả năng của tấn công endpoint.
Khả năng kỹ thuật của Pegasus
Pegasus, sau khi được cài trên thiết bị mục tiêu, cung cấp khả năng giám sát toàn diện không bị hạn chế bởi bất kỳ cơ chế bảo mật ứng dụng nào. Theo phân tích của Citizen Lab (Đại học Toronto) và Amnesty International Tech, Pegasus có thể thực hiện:
Đọc toàn bộ tin nhắn: không chỉ từ bộ nhớ thiết bị khi đang xem mà còn từ cơ sở dữ liệu tin nhắn lưu trên thiết bị, kể cả tin nhắn tự hủy của Signal (trước khi chúng bị xóa). Pegasus đọc tin nhắn sau khi chúng đã được Signal giải mã – mã hóa đầu cuối đã hoàn thành trước đó và không còn bảo vệ nữa.
Chụp màn hình: Pegasus có thể chụp màn hình thiết bị định kỳ hay theo sự kiện (khi người dùng mở ứng dụng cụ thể), ghi lại nội dung hiển thị bao gồm tên liên lạc, nội dung tin nhắn và ảnh.
Ghi âm lén: bật micro mà không cần người dùng biết, ghi âm cuộc trò chuyện trong phòng, cuộc gọi điện thoại (kể cả cuộc gọi Signal được mã hóa – âm thanh được ghi sau khi đã giải mã) hay bất kỳ âm thanh nào trong phạm vi micro.
Chụp ảnh lén: kích hoạt camera trước hay sau mà không người dùng không biết.
Đọc toàn bộ hệ thống file: truy cập ảnh, tài liệu, danh bạ, lịch, lịch sử duyệt web, mật khẩu lưu trong keychain.
Theo dõi vị trí thời gian thực: lấy dữ liệu GPS, Wi-Fi và mạng di động để xác định vị trí chính xác của thiết bị.
Chặn thông tin liên lạc thời gian thực: đọc tin nhắn khi được gõ vào, trước khi chúng được mã hóa và gửi đi.
Ghi lại mật khẩu: Pegasus có thể ghi lại mọi phím bấm (keylogging) trên bàn phím, thu thập mật khẩu ngay khi nhập vào.
Phương pháp phân phối và lây nhiễm
Pegasus sử dụng nhiều phương pháp lây nhiễm khác nhau tùy theo phiên bản và mục tiêu. Các phương pháp đã được xác nhận qua phân tích kỹ thuật bao gồm:
Liên kết độc hại qua SMS (spear phishing): gửi SMS với liên kết trông hợp lệ, khi người nhận nhấp vào, trình duyệt Safari hay Chrome tải trang chứa exploit cho lỗ hổng WebKit. Phương pháp này cần người dùng nhấp vào liên kết nhưng có thể rất thuyết phục khi tin nhắn được cá nhân hóa tốt.
Zero-click qua iMessage: khai thác lỗ hổng trong các tính năng iMessage như xử lý nội dung phong phú (link preview, GIF, ảnh động). Thiết bị tự động tải và xử lý nội dung khi nhận tin nhắn mà không cần người dùng mở tin nhắn.
Zero-click qua WhatsApp: CVE-2019-3568, lỗ hổng trong code VOIP của WhatsApp, cho phép Pegasus xâm phạm thiết bị chỉ bằng cách gọi điện – người dùng không cần nghe máy. WhatsApp đã vá lỗ hổng này và kiện NSO Group ra tòa.
Lây nhiễm qua mạng (network injection): trong trường hợp người vận hành Pegasus kiểm soát hay có quyền truy cập vào hạ tầng mạng mà mục tiêu sử dụng (như điểm truy cập Wi-Fi hay mạng di động), có thể chèn payload độc hại vào lưu lượng mạng HTTP không mã hóa, lây nhiễm mà không cần bất kỳ tương tác nào từ người dùng.
Khả năng tránh phát hiện
Pegasus được thiết kế để tránh phát hiện bởi phần mềm bảo mật và người dùng. Các kỹ thuật bao gồm: xóa dấu vết (removing traces) sau mỗi lần chạy; giả mạo là tiến trình hệ thống hợp lệ; ngắt hoạt động nếu phát hiện có phần mềm giám sát; tự xóa nếu không liên lạc được với máy chủ điều khiển trong khoảng thời gian xác định để tránh bị phân tích sau khi người mang thiết bị không còn là mục tiêu quan tâm.
Phân tích pháp y (forensic analysis) của Amnesty International phát triển công cụ Mobile Verification Toolkit (MVT) có thể phát hiện dấu vết của Pegasus trên thiết bị iOS và Android thông qua phân tích file log hệ thống, tiến trình bất thường và các chỉ số thỏa hiệp (indicators of compromise) khác. Tuy nhiên, MVT yêu cầu kỹ năng kỹ thuật đáng kể và không phải giải pháp cho người dùng phổ thông.
Các loại tấn công endpoint khác
Pegasus là ví dụ nổi tiếng nhất nhưng không phải duy nhất. Có nhiều loại tấn công endpoint với năng lực và đặc điểm khác nhau.
Phần mềm giám sát thương mại (stalkerware)
Khác với Pegasus được bán cho chính phủ với giá hàng triệu USD, stalkerware là phần mềm giám sát rẻ tiền hơn được bán cho cá nhân, thường nhắm vào kiểm soát bạo lực trong quan hệ thân mật. Stalkerware điển hình như mSpy, FlexiSPY, hoverwatch hoặc Spyfone được bán công khai (thường với tên gọi parental control software hay employee monitoring) với giá vài chục đến vài trăm USD mỗi tháng.
Stalkerware thường không khai thác lỗ hổng zero-day mà yêu cầu cài đặt thủ công trên thiết bị – người vận hành cần truy cập vật lý vào thiết bị trong vài phút và thường cần biết mật khẩu mở khóa. Sau khi cài đặt, stalkerware thực hiện chức năng tương tự Pegasus nhưng kém tinh vi hơn về tránh phát hiện. Stalkerware thường bị phát hiện bởi các phần mềm bảo mật di động và có thể để lại dấu hiệu rõ ràng hơn (tăng nhiệt độ thiết bị, tiêu thụ pin nhanh hơn, lưu lượng data bất thường).
Hậu quả của stalkerware với nạn nhân bạo lực gia đình hay bạo lực bạn bè đặc biệt nghiêm trọng: kẻ lạm dụng có thể biết chính xác vị trí của nạn nhân mọi lúc, đọc mọi liên lạc (bao gồm kế hoạch thoát khỏi quan hệ hay liên lạc với cơ quan hỗ trợ), và theo dõi mọi hành động trên thiết bị – vô hiệu hóa hoàn toàn khả năng nạn nhân lập kế hoạch an toàn mà không bị phát hiện.
Tấn công truy cập vật lý
Tấn công vật lý (physical access attack) xảy ra khi kẻ tấn công có quyền truy cập vật lý tạm thời vào thiết bị – có thể chỉ vài phút. Với quyền truy cập vật lý, nhiều tấn công trở nên khả thi:
Cài đặt stalkerware nếu biết mật khẩu thiết bị. Khởi động thiết bị vào chế độ khôi phục (Recovery Mode) và khai thác các lỗ hổng trong bootloader. Trên Android không được mã hóa toàn bộ đĩa, sao chép toàn bộ hệ thống file trực tiếp từ bộ nhớ flash. Sử dụng công cụ pháp y thương mại như Cellebrite UFED hay GrayKey để khai thác lỗ hổng trong trình tự khởi động hay cơ chế giải mã thiết bị.
Cellebrite là công ty Israel cung cấp giải pháp pháp y kỹ thuật số cho cơ quan thực thi pháp luật và chính phủ. Thiết bị UFED của Cellebrite được nhiều cơ quan cảnh sát trên thế giới sử dụng để truy cập dữ liệu từ điện thoại bị bắt giữ. Cellebrite không công bố chi tiết về khả năng của mình, nhưng các hồ sơ tòa án và báo cáo báo chí chỉ ra rằng công ty có thể trích xuất dữ liệu từ nhiều mẫu iPhone và Android kể cả khi được bảo vệ bằng mã PIN. Signal đã công bố một loạt lỗ hổng trong phần mềm Cellebrite năm 2021 để gây áp lực buộc Cellebrite cải thiện bảo mật sản phẩm của họ.
GrayKey là thiết bị pháp y tương tự được Grayshift (Mỹ) phát triển, được báo cáo là có thể bẻ khóa iPhone với mã PIN 6 chữ số trong vài giờ. Các thiết bị này không tấn công mã hóa mà tấn công giới hạn số lần nhập sai PIN – trong một số phiên bản iOS có lỗ hổng cho phép vô hiệu hóa giới hạn này.
Tấn công chuỗi cung ứng
Tấn công chuỗi cung ứng (supply chain attack) nhắm vào quá trình sản xuất hay phân phối phần mềm để chèn code độc hại vào ứng dụng hợp lệ trước khi đến tay người dùng cuối. Đây là một trong những tấn công khó phát hiện và phòng thủ nhất.
Tấn công XcodeGhost năm 2015 chèn code độc hại vào một phiên bản Xcode (công cụ phát triển của Apple) giả mạo được phân phối qua các kênh không chính thức ở Trung Quốc. Các nhà phát triển iOS vô tình dùng phiên bản Xcode bị nhiễm để biên dịch ứng dụng của họ, kết quả là nhiều ứng dụng hợp lệ trong App Store chứa code độc hại – ảnh hưởng đến hơn 4000 ứng dụng bao gồm WeChat.
Tấn công chuỗi cung ứng phần cứng – chèn chip giám sát hay thay đổi firmware trong quá trình sản xuất – ít được xác nhận công khai hơn nhưng là mối lo ngại trong môi trường an ninh quốc gia. Báo cáo Bloomberg 2018 (gây nhiều tranh cãi) cho rằng chip Supermicro trong server của nhiều công ty Mỹ bị chèn chip gián điệp trong chuỗi sản xuất tại Trung Quốc – cáo buộc bị phủ nhận bởi các công ty liên quan nhưng chưa được xác nhận hay phủ nhận dứt khoát.
Biện pháp giảm thiểu và thực hành bảo mật
Không thể bảo vệ hoàn toàn chống lại tất cả tấn công endpoint – đặc biệt là zero-click từ Pegasus hay các phần mềm gián điệp cấp nhà nước tương đương. Tuy nhiên, có nhiều biện pháp giảm thiểu đáng kể rủi ro, đặc biệt là chống lại các tấn công ở tầng thấp hơn.
Cập nhật hệ điều hành và ứng dụng thường xuyên
Biện pháp quan trọng nhất và hiệu quả nhất là cập nhật hệ điều hành và ứng dụng ngay khi có bản vá. Phần lớn các lỗ hổng bị khai thác trong thực tế là known vulnerabilities (lỗ hổng đã biết và đã được vá) chứ không phải zero-day: sau khi Apple hay Google vá một lỗ hổng và công bố bản cập nhật, thông tin về lỗ hổng dần được biết đến và kẻ tấn công bắt đầu tạo công cụ khai thác để nhắm vào các thiết bị chưa cập nhật.
NSO Group và các nhà cung cấp phần mềm gián điệp liên tục phát triển các zero-day mới vì các zero-day cũ bị Apple và Google vá nhanh chóng sau khi phát hiện. Sau sự cố FORCEDENTRY năm 2021, Apple đã phát hành bản vá khẩn cấp trong vòng vài ngày. Thiết bị cập nhật ngay không còn bị ảnh hưởng; thiết bị cập nhật chậm tiếp tục là mục tiêu dễ. Thống kê từ Google Project Zero cho thấy hầu hết các lỗ hổng bị khai thác trong tự nhiên đã được vá từ trước khi khai thác bị ghi nhận – người dùng không cập nhật là nhóm dễ bị tấn công nhất.
Lockdown Mode và tính năng bảo vệ nâng cao
Apple giới thiệu Lockdown Mode (Chế độ khóa cứng) trong iOS 16 (năm 2022) như một tính năng bảo vệ đặc biệt cho người dùng có nguy cơ cao. Lockdown Mode vô hiệu hóa nhiều tính năng iOS có bề mặt tấn công lớn: các loại tệp đính kèm iMessage nhất định bị chặn; xem trước liên kết (link preview) bị tắt; một số công nghệ web trong Safari bị vô hiệu hóa; kết nối USB bị hạn chế khi thiết bị đã khóa; cấu hình quản lý thiết bị bị giới hạn; và mời FaceTime từ người không trong danh bạ bị chặn.
Những hạn chế này giảm đáng kể bề mặt tấn công zero-click: nhiều vector tấn công của Pegasus phụ thuộc vào tính năng xử lý nội dung phong phú trong iMessage và Safari – các tính năng bị Lockdown Mode vô hiệu hóa hay hạn chế đáng kể. Apple báo cáo chưa có trường hợp Pegasus xâm phạm thành công thiết bị đang ở Lockdown Mode tính đến thời điểm năm 2024. Lockdown Mode phù hợp cho nhà báo, luật sư, nhà hoạt động và các cá nhân có nguy cơ cao – những người sẵn sàng hi sinh một số tính năng để có bảo mật tốt hơn. Người dùng phổ thông có thể không cần Lockdown Mode.
Quản lý mật khẩu và bảo mật vật lý
Mã PIN hay mật khẩu mạnh là tuyến phòng thủ quan trọng chống tấn công vật lý. Mã PIN 6 chữ số là tối thiểu; mật khẩu chữ và số dài hơn là tốt hơn nhưng ít tiện lợi. Không sử dụng mã PIN dễ đoán như ngày sinh hay các mẫu đơn giản. Bật Erase Data (iOS) hay Auto Factory Reset (Android) sau số lần nhập sai cho phép – điều này bảo vệ chống brute-force vật lý khi thiết bị bị tịch thu.
Không bao giờ để thiết bị không có người giám sát khi có thể bị truy cập vật lý bởi người không tin tưởng. Không kết nối vào máy tính lạ hay bộ sạc lạ ở nơi công cộng (juice jacking là tấn công cài malware qua cổng USB sạc công cộng). Sử dụng cáp sạc không có tính năng truyền dữ liệu (data-blocker cable) khi cần sạc ở nơi công cộng.
Mã hóa toàn bộ đĩa (full disk encryption) là tiêu chuẩn mặc định trên cả iOS và Android hiện đại, bảo vệ dữ liệu khi thiết bị tắt nguồn. Điều quan trọng là dữ liệu chỉ được bảo vệ khi thiết bị tắt hay chưa mở khóa lần đầu sau khởi động – sau khi thiết bị đã mở khóa và đang chạy, khóa giải mã nằm trong bộ nhớ và các công cụ pháp y có thể tiếp cận. Điều này tạo ra một ngưỡng (threshold): thiết bị đang bật và đang dùng là mục tiêu dễ tấn công hơn thiết bị tắt hoàn toàn.
Thực hành tối thiểu hóa tấn công (Attack Surface Minimization)
Tối thiểu hóa bề mặt tấn công là chiến lược giảm số lượng và phức tạp của code có thể bị khai thác. Các biện pháp cụ thể:
Tắt tính năng không sử dụng: Bluetooth khi không cần; AirDrop chỉ cho danh bạ hay tắt hoàn toàn khi không dùng (AirDrop từng có lỗ hổng cho phép tấn công từ xa). iMessage trên iOS có thể bị tắt hoàn toàn nếu không dùng – giảm đáng kể bề mặt zero-click.
Hạn chế tin nhắn từ người lạ: Signal và WhatsApp cho phép cài đặt chỉ nhận tin nhắn từ danh bạ hay chỉ trả lời tin nhắn từ người đã được phép. Điều này giảm nguy cơ nhận nội dung độc hại zero-click từ kẻ tấn công không biết.
Không cài ứng dụng từ nguồn ngoài app store chính thức: ứng dụng APK bên ngoài Google Play hay ứng dụng sideloaded trên iOS không qua kiểm duyệt của Apple có thể chứa malware được ẩn giấu kỹ.
Xem xét kỹ quyền ứng dụng (app permissions): ứng dụng yêu cầu quyền không liên quan đến chức năng của nó (ví dụ ứng dụng đèn pin yêu cầu quyền truy cập danh bạ) là dấu hiệu đáng ngờ.
Phát hiện xâm phạm
Phát hiện sớm là quan trọng vì một số biện pháp có thể thực hiện sau khi phát hiện xâm phạm (thay thiết bị, thay tài khoản, thông báo liên lạc). Các dấu hiệu cảnh báo bao gồm: thiết bị nóng bất thường khi không dùng nặng; tiêu thụ pin nhanh hơn bình thường; lưu lượng data tăng bất thường (kiểm tra trong cài đặt thiết bị); thiết bị chậm hơn; đèn camera hay micro bật không rõ lý do.
Công cụ iVerify của Trail of Bits cung cấp kiểm tra bảo mật cơ bản cho thiết bị iOS, phát hiện một số chỉ số thỏa hiệp. Mobile Verification Toolkit (MVT) của Amnesty International là công cụ mạnh hơn nhưng yêu cầu kỹ năng kỹ thuật và backup đầy đủ của thiết bị để phân tích. Đối với người dùng có nguy cơ đặc biệt cao, Access Now cung cấp dịch vụ Digital Security Helpline hỗ trợ phân tích thiết bị nghi ngờ bị xâm phạm.
Thực tiễn sử dụng của phần mềm gián điệp
Hiểu ai sử dụng phần mềm gián điệp và nhằm vào ai giúp đánh giá đúng rủi ro thực tế.
Mục tiêu thực tế và chính sách của NSO Group
NSO Group tuyên bố Pegasus chỉ được bán cho chính phủ được kiểm duyệt để sử dụng chống tội phạm và khủng bố. Tuy nhiên, Project Pegasus năm 2021 phân tích danh sách rò rỉ 50.000 số điện thoại mục tiêu tiềm năng và phát hiện nhiều phóng viên, nhà hoạt động nhân quyền, luật sư, doanh nhân và nhà chính trị đối lập – không phải tội phạm hay khủng bố. Công dân Lab (Đại học Toronto) trong nhiều năm theo dõi Pegasus đã xác nhận xâm phạm thiết bị của hơn 50 nhà báo điều tra, hơn 60 người xung quanh Jeff Bezos, thành viên chính phủ nhiều quốc gia và nhiều nhà hoạt động dân chủ tại Azerbaijan, Bahrain, Hungary, Ấn Độ, Kazakhstan, Mexico, Morocco, Rwanda, Saudi Arabia, Togo và UAE.
WhatsApp kiện NSO Group năm 2019 sau phát hiện Pegasus khai thác lỗ hổng WhatsApp để nhắm vào hơn 1400 người dùng, trong đó nhiều người là nhà báo và nhà hoạt động. Apple kiện NSO Group năm 2021 sau sự cố FORCEDENTRY. Tòa án Liên bang Mỹ đã ra phán quyết năm 2024 cho phép vụ kiện của WhatsApp tiếp tục, đây là lần đầu tiên một nhà cung cấp phần mềm gián điệp thương mại đối mặt với trách nhiệm pháp lý ở Mỹ vì hoạt động của khách hàng.
Bộ Thương mại Mỹ đưa NSO Group vào danh sách đen (Entity List) năm 2021, hạn chế khả năng NSO Group mua công nghệ và dịch vụ từ Mỹ. Nhiều quốc gia EU bắt đầu điều tra về việc Pegasus được sử dụng để giám sát công dân và nhà chính trị trong nội bộ khối EU, đặc biệt sau phát hiện điện thoại của Thủ tướng Tây Ban Nha Pedro Sánchez và một số lãnh đạo khác bị xâm phạm.
Hệ sinh thái rộng hơn của phần mềm gián điệp thương mại
NSO Group không phải công ty duy nhất. Predator của Cytrox (nhóm Intellexa Alliance) là đối thủ trực tiếp của Pegasus với khả năng tương tự. Citizen Lab và các nhà nghiên cứu khác đã ghi lại Predator nhắm vào nhà báo và chính trị gia tại Ai Cập, Armenia, Hy Lạp, Ivory Coast, Madagascar, Serbia và nhiều nơi khác. FinFisher (hay FinSpy) của Gamma Group là phần mềm gián điệp Anh-Đức đã bị Citizen Lab ghi nhận sử dụng chống lại các nhà hoạt động ở Bahrain, Ethiopia và nhiều quốc gia khác. RCS Lab (Italy) phát triển phần mềm gián điệp Hermit được ghi nhận sử dụng ở Italy và Kazakhstan. Hacking Team (Italy) – bị chính họ bị hack năm 2015 và tài liệu nội bộ bị rò rỉ – bán phần mềm gián điệp Remote Control System cho nhiều chính phủ độc tài.
Tổng cộng, theo nghiên cứu của Citizen Lab và Amnesty International, có hơn 20 công ty thương mại đang bán phần mềm gián điệp cấp nhà nước, và thị trường này ước tính trị giá hàng tỷ USD mỗi năm. Không phải mọi người dùng đều là mục tiêu của các công cụ đắt tiền này, nhưng sự lan rộng của thị trường cho thấy rào cản không còn là chỉ các cơ quan tình báo lớn.
Kết luận
Tấn công vào thiết bị đầu cuối là giới hạn cơ bản không thể vượt qua của mã hóa đầu cuối: không thể đồng thời mã hóa dữ liệu và hiển thị nó cho người dùng. Tại điểm hiển thị, mã hóa đã hoàn thành nhiệm vụ và thiết bị phải tin tưởng để xử lý dữ liệu đã giải mã. Nếu tin tưởng đó bị phá vỡ – bởi phần mềm gián điệp khai thác lỗ hổng hệ điều hành – toàn bộ bảo mật mật mã phía trên trở nên vô nghĩa.
Điều này không có nghĩa mã hóa đầu cuối là vô ích. Trái lại: đối với phần lớn người dùng trong phần lớn mối đe dọa, mã hóa đầu cuối cung cấp bảo vệ thực sự và quan trọng. Kẻ tấn công không thể đọc tin nhắn Signal trên đường truyền, không thể đọc chúng từ máy chủ Signal và không thể giải mã chúng từ lưu lượng mạng bị chặn. Chỉ ai xâm phạm trực tiếp thiết bị mới đọc được – và điều đó đòi hỏi đầu tư đáng kể về kỹ thuật và thường là tài nguyên.
Thực tiễn bảo mật đúng đắn nhìn nhận cả hai lớp: sử dụng Signal hay ứng dụng mã hóa mạnh và áp dụng vệ sinh bảo mật thiết bị tốt – cập nhật thường xuyên, Lockdown Mode khi cần thiết, mật khẩu mạnh, tối thiểu hóa bề mặt tấn công. Không ai cần phải chọn giữa giao thức mã hóa tốt và bảo mật thiết bị tốt: cả hai bổ sung cho nhau và cả hai đều cần thiết cho bảo mật tổng thể thực sự.
- bao-mat (17)
- mat-ma-hoc (17)
tan-cong-thiet-bi (1)
endpoint-attack (1)
pegasus (1)
nso-group (1)
phan-mem-gian-diep (1)
spyware (1)
zero-click (1)
zero-day (1)
ios-security (1)
lockdown-mode (1)
- signal-protocol (15)
stalkerware (1)
cellebrite (1)
