iPhone bị “HACK” nếu đến gần Hacker: Chuyện thật như đùa!

Nguồn bài viết: iPhone bị “HACK” nếu đến gần Hacker: Chuyện thật như đùa!

Trước đây, ông bà ta thường dọa con / cháu (giới tính nữ đó) rằng “Đừng dại nắm tay con trai đi ngoài đường, bà bầu ơi!”, nghe có vẻ phi lý lắm các bạn ạ, tưởng hôn khiến mình có thai cơ mà ^^!

Đùa thôi, quay lại vấn đề công nghệ, thông thường các phương pháp hack truyền thống đều yêu cầu tiếp xúc vật lý ”.nắm taytức là bạn phải kết nối cáp lightning với máy tính, bật VoiceOver … của iPhone nạn nhân … thì hacker mới xem được thông tin Danh bạ, phá khóa màn hình, … “có thai“vâng!

Vì vậy, những gì tôi đang cố gắng nói ở đây? Chà, hãy tiếp tục đọc…

iphone-bi-hack-neu-den-gan-hacker (1)

#Đầu tiên. Xu hướng tấn công “không đụng hàng”: Zero-day, Zero-click

[NOTE] Đối với những lỗ hổng được Google công khai như thế này, tôi nghĩ họ đã thông báo trước để Apple sửa lỗi. Vì vậy, những gì chúng ta cần là những bài học xung quanh những sự kiện này mà thôi!

Những điều tưởng chừng như hoang đường nay đã được Google “khai sáng”!

Đúng vậy, Google đã cho Apple một phen thót tim khi họ nghiên cứu thành công cách khai thác lỗ hổng trên iPhone, biến thiết bị công nghệ được Apple quảng cáo là bảo mật tối tân thành “lỗi lầm“như công ty Trung Quốc.

Thêm một chút về Project Zero: Đây là một dự án của Google, dự án này sẽ chuyên nghiên cứu và khai thác các lỗ hổng bảo mật trong phần mềm, phần cứng, framework, v.v.

Sau đó, họ sẽ công bố rộng rãi và kết hợp với cộng đồng và các hãng công nghệ liên quan để đưa ra các giải pháp khắc phục, hạn chế xuất hiện các lỗ hổng tương tự trong tương lai.

Nhờ tính chất của dự án Project Zero nhưng lỗ hổng này đã sớm được Apple kết hợp với Google sửa chữa từ tháng 5/2020.

Nhưng không chắc rằng bản sửa lỗi này sẽ ngăn chặn các biến thể của các phương pháp khai thác như vậy. Chuyên gia Ian Beer của Project Zero thừa nhận nghiên cứu của ông vẫn ở dạng “sơ khai” và còn nhiều phương án khai thác mạnh mẽ hơn, nếu có đủ tiềm lực tài chính / nhân lực.

iphone-bi-hack-neu-den-gan-hacker (2)

Đầu tiên, tôi muốn tóm tắt trường hợp này theo cách mà người dùng bình thường có thể hiểu:

Những bạn nào dùng iPhone chắc cũng biết tính năng AirDrop để chia sẻ tệp giữa các thiết bị chạy hệ điều hành iOS hoặc trong hệ sinh thái Apple, phải không? Hay nó là một tính năng? Sidecar chẳng hạn sẽ biến iPad thành màn hình phụ cho MacBook.

=> Các tính năng trên khả dụng nhờ giao thức Apple Wireless Direct Link (AWDL).

Ian Beer: Một chuyên gia của Google như tôi đã giới thiệu ở trên, một thành viên của dự án Project Zero đã công khai nghiên cứu cách khai thác lỗ hổng của giao thức này trên trang: https://ift.tt/GZ9uRlP (bạn có thể đọc nó nếu bạn tò mò).

Vì đây là giao thức không dây nên tin tặc không cần tiếp xúc vật lý với thiết bị mà vẫn có thể truy cập trái phép vào thiết bị (miễn là iPhone của bạn nằm trong phạm vi gần của tin tặc) như: đọc email, tin nhắn, sao chép ảnh hoặc nghe trộm / nghe lén bạn qua micrô / máy ảnh, v.v.

iphone-bi-hack-neu-den-gan-hacker (5)

Mời các bạn xem 2 video demo dưới đây để hiểu rõ hơn về mức độ nguy hiểm của cuộc tấn công này:


# 2. Bài học rút ra từ vụ việc này?

Mình đã đọc bài chia sẻ của Ian Beer trên trang: https://ift.tt/xEziyMc

Tôi thấy việc tạo ra một công cụ khai thác chuyên gia nguy hiểm giống như một trò tiêu khiển 🙂

Y như rằng anh chàng này trong mùa dịch Covid không có việc gì làm, đem mã nguồn iOS ra đọc chơi, sau đó thấy có gì đó không ổn liền ngồi xuống lập trình công cụ khai thác lỗ hổng.

Vừa làm vừa chơi mất 6 tháng để hoàn thành (Anh chàng này không yêu cầu giúp đỡ hoặc thành lập nhóm nghiên cứu với anh ta, bởi vì anh ta đủ điều kiện!).

Ian Beer cũng bày tỏ lo ngại rằng: Nếu những nghiên cứu như thế này được thực hiện bởi các tổ chức hacker thì mức độ nguy hiểm và quy mô của các cuộc tấn công mà nó tạo ra là rất khó lường. trước khi có thể.

Đặc biệt là các tổ chức hacker được nhà nước bảo trợ, với đội ngũ hùng hậu, cố vấn kỹ thuật, thiết bị tiên tiến, tài liệu mật để khai thác lỗ hổng,… nói chung cũng khá nguy hiểm. sự nguy hiểm.

iphone-bi-hack-neu-den-gan-hacker (3)

# 3. Tóm lược

Tôi đã cố gắng tìm kiếm các bản cập nhật dạng này, hoặc các bản hack tương tự trên Project Zero, nhưng thông tin thu được khá hạn chế, tôi nghĩ có 2 lý do như sau:

  • Google tập trung vào các lỗ hổng lớn hơn, các lỗi 0 ngày nguy hiểm hơn và các lỗi nhỏ, hãng sẽ tích cực làm việc với các công ty liên quan để sửa chữa.
  • Apple đã tích cực đàm phán với Google để hạn chế việc công bố các lỗ hổng có thể gây tổn hại đến danh tiếng của công ty, đồng thời hãng sẽ “âm thầm” tung ra các bản cập nhật cho người dùng.

Bài học cho các hãng công nghệ cũng như các lập trình viên đã quá rõ ràng: Lập trình một sản phẩm tốt thôi chưa đủ mà cần phải tối ưu hóa hiệu năng, hạn chế để lại những tính năng, lỗ hổng không cần thiết để hacker dễ dàng khai thác..

Nó cũng yêu cầu một nền tảng an toàn mã nguồn mở để bất kỳ ai cũng có thể hoàn thiện và tích hợp vào các dự án của họ.

Từ quan điểm của người dùng phổ thông (Giống như các bài viết trước, tôi đã nói về việc có nên bẻ khóa / root điện thoại hay không, hoặc bài viết gần đây về cách iPhone có thể bị hack chỉ bằng cách truy cập vào một trang web.) vẫn là một bài hát vĩnh cửu, là để nhắc nhở bạn cập nhật và cập nhật, cho dù đó là iOS hay Android, cho dù đó là hệ điều hành hay chính các ứng dụng.

Bạn nên từ bỏ ngay ý định sử dụng hàng lậu đi, thật đấy. Trước đây, do thường xuyên sử dụng phần mềm vi phạm bản quyền nên bạn thường được khuyên tắt cập nhật, giống như bất kỳ phần mềm nào, chỉ cần cài đặt nó và tắt cập nhật. Nhưng tôi nghĩ suy nghĩ như vậy là cổ hủ quá, tư duy dùng hàng lậu mới như vậy!

Một công ty phần mềm do họ phát triển, chắc chắn họ muốn phần mềm đó phải tốt nhất, ổn định nhất và an toàn nhất. Đó là lý do tại sao họ dành nhiều thời gian và tiền bạc hơn cho việc nghiên cứu và phát triển.

Đọc thêm:

Vậy đó, tôi hy vọng bạn chấp nhận những gì tôi phải nói. Nếu bạn thích bài viết này, đừng quên chia sẻ nó rộng rãi. Cảm ơn bạn!

CTV: Dương Minh Thắng – Blogchiasekienthuc.com

Bài viết đạt: 5/5 sao – (Có 1 đánh giá)

Ghi chú: Bài viết này có hữu ích cho bạn không? Đừng quên đánh giá bài viết, thích và chia sẻ nó với bạn bè và gia đình của bạn!

Bản quyền thuộc: tinthuthuat.com



from tinthuthuat.com https://ift.tt/v4HqyCb
via tinthuthuat.com

Nhận xét

Đăng nhận xét