Công cụ hack bị rò rỉ đe dọa hàng triệu iPhone cũ, bất chấp nỗ lực bảo mật của Apple

Apple đã có những bước tiến lớn về bảo mật iOS 26, nhưng các công cụ hack bị rò rỉ vẫn khiến hàng triệu người có nguy cơ bị tấn công bằng phần mềm gián điệp

Giới chuyên gia bảo mật iPhone thường cho rằng việc tìm ra các lỗ hổng và phát triển các khai thác (exploit) cho iOS là rất khó, đòi hỏi nhiều thời gian, nguồn lực và đội ngũ các nhà nghiên cứu lành nghề để vượt qua các lớp phòng thủ bảo mật của nó. Điều đó có nghĩa là phần mềm gián điệp và các lỗ hổng zero-day (lỗ hổng chưa được nhà cung cấp phần mềm biết đến trước khi bị khai thác) trên iPhone rất hiếm và chỉ được sử dụng trong các cuộc tấn công có giới hạn và nhắm mục tiêu, như chính Apple tuyên bố. Nhưng trong tháng qua, các nhà nghiên cứu an ninh mạng tại Google, iVerify và Lookout đã ghi nhận một số chiến dịch hack quy mô lớn sử dụng các công cụ, được gọi là Coruna và DarkSword, nhắm mục tiêu gần như bừa bãi vào các nạn nhân trên khắp thế giới, những người chưa chạy phần mềm mới nhất của Apple. Một số hacker đứng sau các cuộc tấn công này bao gồm gián điệp Nga và tội phạm mạng Trung Quốc, nhắm mục tiêu vào các nạn nhân thông qua các trang web bị hack hoặc các trang giả mạo, cho phép chúng đánh cắp dữ liệu điện thoại từ một số lượng lớn nạn nhân.

Hiện tại, một số công cụ này đã bị rò rỉ trực tuyến, cho phép bất kỳ ai lấy mã và dễ dàng tung ra các cuộc tấn công của riêng họ chống lại người dùng Apple đang chạy các phiên bản iOS cũ hơn. Apple đã đầu tư nguồn lực đáng kể vào các công nghệ bảo mật và phát triển mới, chẳng hạn như giới thiệu mã an toàn bộ nhớ (memory-safe code) cho các mẫu iPhone mới nhất và ra mắt các tính năng như Chế độ phong tỏa (Lockdown Mode) đặc biệt để chống lại các cuộc tấn công phần mềm gián điệp tiềm ẩn. Mục tiêu là làm cho iPhone hiện đại an toàn hơn và củng cố tuyên bố rằng iPhone rất khó bị hack. Nhưng vẫn còn rất nhiều iPhone cũ, lỗi thời hiện là mục tiêu dễ dàng hơn cho các gián điệp và tội phạm mạng sử dụng phần mềm gián điệp.

Về cơ bản, hiện có hai loại người dùng iPhone về mặt bảo mật. Người dùng trên iOS 26 mới nhất chạy trên các mẫu iPhone 17 mới nhất được phát hành vào năm 2025 có một tính năng bảo mật mới gọi là Thực thi tính toàn vẹn bộ nhớ (Memory Integrity Enforcement), được thiết kế để ngăn chặn các lỗi hỏng bộ nhớ (memory corruption bugs), một số lỗi phổ biến nhất được khai thác trong các cuộc tấn công bằng phần mềm gián điệp và mở khóa điện thoại. Theo Google, DarkSword phụ thuộc rất nhiều vào các lỗi hỏng bộ nhớ. Sau đó, có những người dùng iPhone vẫn chạy phiên bản phần mềm di động trước đó của Apple, iOS 18, hoặc thậm chí các phiên bản cũ hơn, vốn đã dễ bị tấn công dựa trên bộ nhớ và các khai thác khác trong quá khứ.

Liên hệ chúng tôi

Bạn có thêm thông tin về DarkSword, Coruna hoặc các công cụ hack và phần mềm gián điệp của chính phủ khác không? Từ một thiết bị không phải của cơ quan, bạn có thể liên hệ với Lorenzo Franceschi-Bicchierai một cách an toàn trên Signal theo số +1 917 257 1382, hoặc qua Telegram, Keybase và Wire @lorenzofb, hoặc qua email.

Việc phát hiện ra Coruna và DarkSword cho thấy rằng các cuộc tấn công dựa trên bộ nhớ có thể tiếp tục gây khó khăn cho người dùng iPhone và iPad cũ, những thiết bị chậm hơn so với các mẫu mới hơn, an toàn bộ nhớ hơn. Các chuyên gia làm việc cho iVerify và Lookout, hai công ty an ninh mạng có cổ phần thương mại trong việc bán các sản phẩm bảo mật cho thiết bị di động, cho biết Coruna và DarkSword cũng có thể thách thức giả định lâu nay rằng các vụ hack iPhone là rất hiếm. Đồng sáng lập iVerify, Matthias Frielingsdorf nói với TechCrunch rằng các cuộc tấn công di động hiện đang "lan rộng", nhưng ông cũng nói rằng các cuộc tấn công dựa vào zero-day chống lại phần mềm mới nhất "sẽ luôn được tính phí cao", ngụ ý rằng chúng sẽ không được sử dụng để hack mọi người trên quy mô rộng.

Patrick Wardle, một chuyên gia bảo mật Apple, cho biết một vấn đề là mọi người gọi các cuộc tấn công chống lại iPhone là hiếm hoặc tinh vi chỉ vì chúng hiếm khi được ghi lại. Nhưng thực tế, ông nói, là những cuộc tấn công này có thể xảy ra nhưng không phải lúc nào cũng bị bắt. "Gọi chúng là 'tiên tiến cao' hơi giống như gọi xe tăng hoặc tên lửa là tiên tiến," Wardle nói với TechCrunch. "Điều đó đúng, nhưng nó bỏ lỡ vấn đề. Đó chỉ đơn giản là khả năng cơ bản ở cấp độ đó và tất cả (hầu hết) các quốc gia đều có chúng (hoặc có thể mua chúng với giá phù hợp)."

Một vấn đề khác được Coruna và DarkSword làm nổi bật là hiện có một thị trường "second-hand" dường như đang phát triển mạnh mẽ, tạo ra động cơ tài chính "cho các nhà phát triển khai thác và các nhà môi giới cá nhân về cơ bản được trả tiền hai lần cho cùng một khai thác," theo Justin Albrecht, nhà nghiên cứu chính tại Lookout. Đặc biệt khi khai thác ban đầu được vá, việc các nhà môi giới bán lại nó trước khi mọi người cập nhật có ý nghĩa.

"Đây không phải là một sự kiện một lần, mà là một dấu hiệu của những điều sắp tới," Albrecht nói với TechCrunch.

Lorenzo Franceschi-Bicchierai là một nhà văn cao cấp tại TechCrunch, nơi ông đưa tin về hacking, an ninh mạng, giám sát và quyền riêng tư. Bạn có thể liên hệ hoặc xác minh việc tiếp cận từ Lorenzo bằng cách gửi email tới lorenzo@techcrunch.com, thông qua tin nhắn được mã hóa theo số +1 917 257 1382 trên Signal và @lorenzofb trên Keybase/Telegram. Xem Tiểu sử