Nhà nghiên cứu Simon Mullis đến từ hãng bảo mật FireEye cảnh báo rằng một lỗ hổng bảo mật đang bị tin tặc sử dụng để do thám người dùng iPhone, kể cả thiết bị chưa được jailbroken, thông qua hình thức tấn công có tên gọi Masque.
“Phiên bản gần đây nhất của cuộc tấn công Masque sử dụng một kỹ thuật gọi là URL Scheme Hijacking. Những kẻ tấn công sẽ bỏ qua cơ chế bảo vệ của Apple trong việc đảm bảo rằng người dùng đang cài đặt một ứng dụng an toàn”, ông Mullis cho biết.
Kỹ thuật sử dụng trong cuộc tấn công đã bị phát hiện dựa trên các dữ liệu vi phạm từ Hacking Team bị rò rỉ gần đây. Hacking Team là một công ty phần mềm tạo ra công cụ giám sát kỹ thuật số cho các cơ quan chính phủ và các cơ quan thực thi pháp luật.
Danh sách các khách hàng của Hacking Team bao gồm Cục điều tra liên bang Mỹ (FBI) và Cơ quan phòng chống tội phạm quốc gia Anh (NCA). Hành vi vi phạm an ninh xảy ra trong tháng Sáu khi một nhóm tin tặc đã đột nhập vào mạng lưới của Hacking Team và ăn cắp 400 GB dữ liệu trong cơ sở máy chủ của họ.
Ông Mullis cho biết: “Vụ tấn công được thực hiện bằng cách lừa người dùng smartphone cài đặt ứng dụng độc hại không được lưu trữ trên cửa hàng chính thức thông qua liên kết web bị lây nhiễm. Chỉ cần nhấp vào liên kết trên điện thoại để cài ứng dụng, sau đó bất kỳ ứng dụng của bạn có thể được thay thế bằng một phiên bản độc hại. Nó có thể trông giống với một ứng dụng tiêu chuẩn nhưng có thêm một chức năng bí mật”.
“Sau khi cài đặt, ứng dụng độc hại mới có thể chiếm quyền điều khiển hoạt động truyền thông được sử dụng bởi các ứng dụng hợp pháp và ăn cắp thông tin, chẳng hạn như thông tin đăng nhập”, ông Mullis nói thêm.
Cuộc tấn công chỉ được thực hiện nếu người dùng nhấp chuột vào liên kết nhiễm độc, do đó để được an toàn người dùng cần tải về các ứng dụng từ một cửa hàng hợp pháp.
Kỹ thuật này được báo cáo hoạt động trên tất cả các hệ điều hành di động lớn, bao gồm cả iOS lẫn Android. Theo Mullis, FireEye đã phát hiện ra phiên bản độc hại của một số ứng dụng hợp pháp phổ biến nhắm mục tiêu vào người dùng smartphone. Phần mềm độc hại cho phép một ứng dụng nhắn tin tức thời có thể tự động tải lên thông tin, hình ảnh và vị trí GPS của chủ nhân đến một máy chủ từ xa.
Mullis cho biết FireEye đã tìm thấy nhiều ứng dụng nổi tiếng làm việc theo cách này, bao gồm Twitter, Facebook, Viber, WhatsApp, Skype… Các ứng dụng này được bổ sung chức năng truyền tải thông tin nhạy cảm đến máy chủ từ xa và một số lượng nạn nhân nhất định đã bị tấn công, nhưng các thông tin nạn nhân được giữ kín.