Những chiếc iPhone đặc biệt được hacker săn đón

Mathew Solnik đang đứng cạnh 2 trong số những hacker chuyên iPhone giỏi nhất thế giới để giải đáp về thắc mắc từ năm 2016. Tại hội nghị dành cho giới bảo mật BlackHat 2016, lần đầu tiên cơ chế hoạt động của bộ xử lý Secure Enclave Processor (SEP) trên iPhone đã được tiết lộ. SEP là thành phần khó nghiên cứu nhất vì hệ điều hành của nó bị Apple mã hóa nên gần như không thể biết chi tiết cách nó lưu trữ, xử lý dữ liệu sinh trắc học và nhiều thứ khác. Nhưng đã có hacker làm được chuyện đó, và tận 2 năm sau kĩ thuật này mới được tiết lộ.

iPhone dev-fused là gì?

Nhóm của Solnik sử dụng một chiếc iPhone “dev-fused”. Về cơ bản đây là một chiếc iPhone được tạo để dùng nội bộ trong công ty Apple, nó đã được vô hiệu hóa nhiều tính năng bảo mật và đáng ra không bao giờ được xuất hiện bên ngoài. Nhưng vẫn có một số tay buôn kiếm được nó, bán iPhone dev-fused lên thị trường chợ đen với giá nhiều nghìn đô là, và những người săn đón mặt hàng này có cả những hacker lẫn các nhà nghiên cứu bảo mật.

Do nhiều tính năng bảo mật được tắt đi, các nhà nghiên cứu dễ dàng tìm hiểu xem cách mà iPhone hoạt động cũng như cách hệ điều hành chạy ra sao, điều không thể làm được với những chiếc iPhone thương mại vốn đã bị mã hóa và chặn đủ đường. Kể từ hội nghị BlackHat ngày hôm nay, iPhone dev-fused đã trở thành công cụ ưu thích để tìm ra những lỗ hổng bảo mật zero day liên quan tới chiếc điện thoại này (lỗ hổng zero day là lỗ hổng bảo mật chưa từng bị phát hiện trước đó).

Trong quá trình tìm hiểu của trang Motherboard, anh chàng bên đó đã nói chuyện với rất nhiều người, từ nhà nghiên cứu bảo mật, các cựu nhân viên cũng như nhân viên hiện tại đến từ Apple, những người chuyên sưu tầm điện thoại quý, cho đến những thành viên trong cộng đồng jailbreak iPhone. Họ đang giao dịch ngầm rất nhiều chiếc iPhone dev-fused. Khi thử nghiệm 1 chiếc, phóng viên Motherboard thấy rằng anh ta có thể truy cập được quyền root của hệ điều hành, cho phép điều khiển gần như bất kì thứ gì trên máy. Và những thứ này có khả năng ảnh hưởng đến cả trăm triệu người đang dùng iPhone trên toàn thế giới thông qua việc bị khai thác để cung cấp cho các chính phủ, các kẻ xấu, tin tặc…



Đang tải 1551893385570-IMG_6916.jpg…

Apple cũng chưa từng nhắc tới iPhone dev-fused. Tìm trên mạng về cụm từ này cũng khó. Chỉ duy nhất 1 lần Trưởng bộ phận bảo mật của Apple là Ivan Krstić nói chuyện ở BlackHat 2016 (một ngày sau khi Solnik lên sân khấu), ông có ghi chữ “development fused” iPhone trong slide của mình nhưng cũng không nói gì tới cụm từ này khi thuyết trình.

Quay trở lại với SEP, Apple khiến việc tìm hiểu con chip này trở nên gần như khả thi vì họ đã mã hóa hệ điều hành của chip, nó không thể bị trích xuất hay bị dịch ngược lại nếu bạn chỉ sở hữu một chiếc iPhone bình thường. Nhưng với một chiếc iPhone dev-fused thì điều này lại có thể, và đó cũng là cách mà nhóm của Solnik đã tìm ra cách CPU giao tiếp với SEP thông qua một “hộp thư bảo mật”, quy trình boot của SEP cũng như các mã “opcode” đặc biệt mà Apple dùng để đọc dữ liệu từ con chip.

Để trích xuất được dữ liệu từ những chiếc iPhone dev-fused này, bạn cần một sợi cáp đặc biệt, và đó cũng là thứ mà nhóm của Solnik đã dùng để tìm hiểu cho bài thuyết trình ở BlackHat 2016. Solnik đã tách firmware của điện thoại ra bằng những “công cụ tiêu chuẩn của Apple”. Một nhà nghiên cứu bảo mật iOS giấu tên nói Solnik có rất nhiều iPhone dev-fused và một số người khác đã thấy bộ thiết bị mà Solnik sử dụng. Một số người khác thì nói họ có được firmware từ một chiếc iPad Air 2 dev-fused.



Đang tải hack_iphone.jpg…

Những nhà nghiên cứu bảo mật như Solnik không phải là những người duy nhất sở hữu iPhone dev-fused. Cellebrite, công ty từng được FBI thuê để bẻ khóa iPhone của nghi phạm xả súng và cũng là đơn vị cung cấp nhiều công cụ phá khóa điện thoại cho các cơ quan thực thi pháp luật, hiện đang sở hữu nhiều chiếc iPhone dev-fused. Họ dùng nó để phát triển các dịch vụ và sản phẩm của mình. Tất nhiên, Cellebrite không bình luận gì về điều này.

Chris Wade, đồng sáng lập công ty Corellium chuyên bán một sản phẩm cho phép người dùng tạo các mã ảo trên bất kì thiết bị iOS nào, cũng đã từng được dùng thử những chiếc dev-fused. Ông nói mình chưa từng mua chiếc nào cả, và sản phẩm của công ty ông không được phát triển trên iPhone dev-fused, nhưng ông thừa nhận đã từng “nghịch” một chiếc khi tham dự một hội nghị. Wade nói việc sử dụng thiết bị được trộm từ Apple sẽ khiến Apple kiện ông và chắc chắn ông sẽ thua.

Ai là người bán?

Khi giả làm người mua iPhone dev-fused ở New York, phóng viên của Motherboard đã gặp một người đàn ông tóc dài, đội nón nhiều màu. Người này dẫn ông tới một xưởng gần đó. Cửa vào của xưởng sử dụng đầu đọc vân tay do chính người này lập trình và lắp đặt, không sử dụng các giải pháp đang bán trên thị trường. Trong xưởng có nhiều ván trượt điện, hai hồ cá, và một tấm bảng ghi đại loại là “Nếu mày chui vào hang của bố thì bố đập mày vỡ mặt”.

Người này là một trong số ít những người công khai quảng cáo và bán iPhone dev-fused. Anh chàng đó sở hữu account Twitter “Apple Internal Store”, và tất nhiên chưa bao giờ nói tên thật của mình vì sợ Apple sẽ cho người bắt anh. Anh ta còn công khai quảng cáo mình có nhiều chiếc iPhone bản nguyên mẫu, chưa từng được đưa vào dây chuyền sản xuất đại trà. Một chiếc iPhone X dev-fused có giá 1.800$.



Đang tải iPhone_dev_fused.jpg…

Người bán bí ẩn nói thêm rằng có nhiều công ty và nhà nghiên cứu từng mua hàng của anh. “Những người đó họ không quan tâm tới tiền. Họ không quan tâm giá bao nhiêu. Dù tôi có bán giá nào đi nữa thì các công ty đó cũng mua hết”.

Khi được hỏi vì sao anh ta có được những chiếc điện thoại này, anh ta không nói kĩ, chỉ chia sẻ là “tôi không trộm những thiết bị này. Tôi đã phải mua lại nó đấy. Miễn là anh đừng đá vào bi của Apple, hay đưa ra nguyên mẫu của iPhone, hay những thiết bị chưa từng được giới thiệu thì họ không làm gì anh cả”.

Ở mặt lưng của chiếc iPhone dev-fused có một miếng mã QR, một hàng barcode riêng, một decal ghi chữ Foxconn – nhà sản xuất, lắp ráp phần cứng cho Apple. Phần còn lại của máy thì giống với bao chiếc iPhone khác. Khi bật máy lên, các dòng lệnh bắt đầu chạy, và khi chạy xong thì bạn không thấy iOS quen thuộc, thay vào đó chiếc điện thoại này boot vào một hệ điều hành tên Switchboard – chuyên dùng để test thiết bị. Ở đây bạn có thể test camera, test cảm biến, cảm ứng và nhiều thứ khác.

Các icon không thể chạm vào như bình thường, bạn phải dùng máy tính ra lệnh cho điện thoại. Và ngay cả khi bạn dùng cáp bình thường cũng không có gì xảy ra. Thay vào đó, bạn phải dùng một sợi cáp USB độc quyền của Apple tên là Kanzi, trên thị trường chợ đen nó có thể có giá tới 2000$. Sợi dây này cho phép bạn có được quyền root với hệ điều hành và đào sâu vào firmware của điện thoại, nó dùng một giao thức truyền dữ liệu riêng của Apple để truy cập dữ liệu nhạy cảm. Sau đó thì chỉ cần nhập username là root và mật khẩu là alpine là có thể có quyền root.

Không phải chiếc iPhone dev-fused nào cũng nhìn giống iPhone bình thường, có nhiều chiếc được gắn trong một cái khung kim loại để bạn mở ra nhìn vào phần cứng của máy, giống như cách bạn mở nắp bánh pizza vậy. Một số khác thì có dây chạy bên ngoài thiết bị, có cả cổng điều khiển bằng sóng radio…



Đang tải iPhone_dev_fused_2.jpg…

Tài khoản Twitter khác tên Jin Store thì bán iPhone dev-fused với giá đắt hơn. Một chiếc iPhone 8 dev-fused có giá 5000$, iPhone XR là 20.000$, hay iPhone 6 là 1.300$. Có nhiều loại thiết bị dev-fused với nhiều mức độ bảo mật khác nhau và các tính năng cũng khác nhau, và máy càng ít bảo mật thì giá càng cao.

Những thiết bị trốn khỏi Thâm Quyến

Một người quen thuộc với giới buôn lậu iPhone ở Trung Quốc cho hay nhiều người liên hệ với anh ta và sẵn sàng chi rất nhiều tiền để có được chiếc iPhone development fused. Đa số chúng được trộm từ nhà máy hoặc từ các trung tâm phát triển của Apple, và điều thú vị là ngay cả người trộm máy thường cũng không biết là cái thiết bị họ vừa lấy có giá cao tới mức nào. Họ chỉ đơn giản là bán lấy tiền mặt mà thôi.

Giải thích kĩ hơn, một cựu nhân viên Apple nói trên bo mạch iPhone có một chân nhất định, khi sản xuất thương mại thì chân này được “thổi” lên mạch. Chip sẽ check chân này để biết liệu máy này có phải là máy thương mại hay không, và nếu không thì nó sẽ chuyển sang chế độ của một cái điện thoại dev-fused.

Một số người khác thì mua iPhone dev-fused về nhưng không phải để hack mà là để sưu tầm. Một người tên Giulio Zompetti cho biết anh ta đang có 14 chiếc iPhone dev-fused, ngoài ra còn có cả iPod và iPad. Càng cũ thì càng hiếm, và anh ta thích cảm giác được sở hữu những thứ quý hiếm như thế. “Mục tiêu là tái hiện lại lịch sử”. Hiện anh ta có một chiếc iPhone 5s với ngày sản xuất chỉ vài tháng sau khi iPhone 5 chính thức bán ra.

Apple không làm gì sao?

Theo các nguồn tin nội bộ, Apple hoàn toàn biết về những thiết bị dev-fused đang bị rao bán. Nhiều người tin rằng Apple đã củng cố các nỗ lực để ngăn không cho những chiếc điện thoại dev-fused này thoát khỏi nhà máy Foxconn, cũng như theo dõi những người bán chúng. Bản thân Solnik cũng từng chế giễu Apple năm 2016 khi anh có được firmware của chip SEP.

Năm 2017, Apple từng tuyển Solnik về đội bảo mật của mình, cụ thể là vào “đội đỏ” có nhiệm vụ kiểm tra và hack sản phẩm của chính Apple để tìm thấy lỗ hổng bảo mật. Bài nói chuyện của anh đã khiến Apple ấn tượng. Tuy nhiên chỉ vài tuần sau anh đã nghỉ việc, và chẳng mấy ai biết được chuyện gì đã xảy ra.

 

Leave a Reply

Your email address will not be published. Required fields are marked *