Theo báo cáo mới nhất từ hãng bảo mật Look Out và Citizen Lab, mã độc lợi dụng 3 lỗ hổng zero-day trong Apple iOS cho phép chính phủ kiểm soát điện thoại của nạn nhân bằng cách lừa họ bấm vào đường liên kết trong tin nhắn văn bản. Mike Murray, Phó Chủ tịch Nghiên cứu bảo mật tại Lookout, đánh giá đây là hành vi tinh vi nhất mà họ từng chứng kiến nhằm vào thiết bị di động.

Các chuyên gia của Citizen Lab cho rằng mã độc có nguồn gốc từ công ty Israel có tên NSO Group và đã được Francisco Partners của Mỹ mua lại năm 2014, được dùng để theo dõi các nhà báo và các nhà hoạt động trong một số trường hợp.

Hôm 25/8, Apple đã phát hành bản vá và tuyên bố: “Chúng tôi khuyên tất cả khách hàng luôn tải về phiên bản iOS mới nhất để tự bảo vệ trước các nguy cơ bảo mật”.

Dù vậy, mã độc một lần nữa cho thấy các công ty dù có uy tín thế nào vẫn gặp phải khó khăn khi đối đầu với một thị trường bán công cụ tấn công rộng lớn. Phát ngôn viên NSO Group cho biết phần mềm tấn công di động chỉ được bán cho chính phủ. “Thỏa thuận ký kết với khách hàng yêu cầu sản phẩm chỉ được dùng một cách hợp pháp. Đặc biệt, chúng có lẽ chỉ được sử dụng để ngăn chặn và điều tra tội phạm”.

Mã độc được đưa ra ánh sáng sau khi nhà hoạt động Ahmed Mansoor nhận được hai tin nhắn hứa hẹn tiết lộ “bí mật” về các phạm nhân giam giữ trong nhà tù Các Tiểu vương quốc Ả-rập Thống nhất. Mansoor ngay lập tức nghi ngờ. Ông từng bị giam vì hoạt động của mình và từng là đối tượng của mã độc trong quá khứ. Trả lời The Wasshington Post, ông nói: “Tôi là đối tượng thường xuyên của các nhà chức trách tại đây. Mỗi lần có phần mềm gián điệp mới, họ dường như lại cố thử với tôi”.

Vì vậy, thay vì bấm vào liên kết, ông gửi chúng cho các chuyên gia của Citizen Lab. Hợp tác với Lookout, họ xác nhận nỗi sợ hãi của ông: những kẻ tấn công của Mansoor đã có thể chiếm quyền kiểm soát thiết bị nếu ông bấm vào liên kết.

Một tài liệu quảng cáo của NSO Group miêu tả mã độc nhằm vào Mansoor có tên Pegasus như công cụ cho phép “giám sát vô hình từ xa và khai thác đầy đủ dữ liệu từ thiết bị của mục tiêu thông qua các lệnh không thể theo dấu”.

Song nghiên cứu của Citizen Lab gợi ý các công cụ này không hẳn là không thể bị lần theo dấu vết. Họ đã tìm ra mạng lưới các website chứa mã độc, một số dùng địa chỉ web được thiết kế để lừa người dùng nghĩ đây là website thật.

Một trường hợp khác được nhắc đến trong báo cáo của Citizen Lab, một nhà báo tại Mexico - người phát hiện ra bê bối tham nhũng liên quan đến Tổng thống - dường như là mục tiêu của các tin nhắn văn bản chứa đường liên kết như thể đến từ một tòa báo Mexico.

Apple đã khẩn trường khắc phục sự cố sau khi Citizen Lab và Lookout cảnh báo. Mansoor bị tấn công vào ngày 10, 11/8 và nhà sản xuất iPhone tìm ra lời giải trong vòng 10 ngày. Dù vậy, chi tiết về mã độc gợi ý nó đã được dùng nhiều năm trời. Người dùng bình thường có thể không cần quá lo lắng vì NSO Group chỉ bán phần mềm gián điệp cho chính phủ. Tuy nhiên, vụ rò rỉ các công cụ tấn công mạng gần đây của Cơ quan An ninh Mỹ cho thấy mã độc lợi dụng các lỗ hổng chưa được vá có thể đưa công chúng vào vòng nguy hiểm một khi bị lộ.

Chính phủ và các công ty như NSO Group thay vì thông báo lỗ hổng cho lập trình viên lại phát triển công cụ khai thác. Điều đó đe dọa bảo mật của toàn xã hội vì không có gì bảo đảm rằng không có ai khác tìm ra lỗ hổng tương tự.

Theo Forrester Research, thiết bị Apple từ lâu được đánh giá cao về bảo mật. Đầu năm nay, Apple từng đối đầu với FBI trong trận chiến liên quan đến chiếc iPhone của một trong hai tay súng San Bernardino. FBI cuối cùng đã bẻ khóa được thiết bị mà không cần nhờ đến Apple sau khi trả tiền cho hacker chuyên nghiệp.

Tuy nhiên, Apple vẫn dẫn đầu khi nói đến vấn đề bảo mật trong sản phẩm tiêu dùng, một phần vì công ty luôn kiểm soát chặt chẽ nền tảng iPhone. Chính vì vậy, bất kỳ lỗ hổng nào trong phần mềm của Apple luôn rất giá trị. Năm 2015, một doanh nghiệp chuyên xử lý các lỗ hổng zero-day tiết lộ đã trả 1 triệu USD cho một cuộc tấn công như vậy.

Gần đây, “táo khuyết” cũng bắt đầu trả tiền cho các lập trình viên. Những người cung cấp thông tin về lỗ hổng có thể nhận được tối đa 200.000 USD.