🚨 Chỉ cần một trang web và tiền điện tử của bạn sẽ biến mất: Coruna có thể là khoảnh khắc EternalBlue đối với các lỗ hổng bảo mật iOS.
Trong nhiều năm, việc khai thác quy mô lớn iPhone được coi là không khả thi. Coruna đã chứng minh điều ngược lại.
Mới đây, được Nhóm Tình báo Mối đe dọa của Google (Google Threat Intelligence Group) phát hiện, Coruna là một bộ công cụ khai thác iOS cấp độ nhà nước, có cấu trúc mô-đun, cho thấy các khả năng an ninh mạng tinh vi được phát triển bởi chính phủ hoặc các tác nhân giám sát cuối cùng có thể bị rò rỉ vào hệ sinh thái tội phạm.
Khung này chứa năm chuỗi khai thác hoàn chỉnh được xây dựng từ 23 lỗ hổng nhắm mục tiêu vào các thiết bị của Apple. Các chuỗi này kết hợp:
- Thực thi mã từ xa WebKit
- Nâng cao đặc quyền
- Vượt qua PAC (Xác thực con trỏ) (!!)
- Thoát khỏi Sandbox
- Vượt qua Lớp bảo vệ Trang (Page Protection Layer)
Cùng nhau, chúng cho phép xâm nhập hoàn toàn vào iPhone chỉ bằng một lần truy cập trang web đơn giản.
Hậu quả là ngay lập tức. Coruna đã được sử dụng chủ yếu để đánh cắp tiền điện tử. Đường tấn công cực kỳ đơn giản: khóa của bạn nằm trong ví phần mềm trên iPhone, bạn truy cập một trang web bị xâm nhập và tiền điện tử của bạn biến mất.
Sau khi xâm nhập vào thiết bị, phần mềm độc hại có thể:
- Đánh cắp tài sản từ ví điện tử
- Trích xuất cụm từ hạt giống được lưu trữ trong Apple Notes hoặc trong ảnh của bạn
- Thu thập ảnh, email và các dữ liệu nhạy cảm khác
Các nhà nghiên cứu đã quan sát thấy bộ công cụ này nhắm mục tiêu vào 18 ứng dụng tiền điện tử, bao gồm MetaMask, Trust Wallet và Exodus Wallet.
Coruna hoạt động ngay lập tức trên các thiết bị chạy iOS 13 đến iOS 17.2.1, bao gồm các bản phát hành từ năm 2019 đến năm 2023. Điều đó có nghĩa là hàng trăm triệu thiết bị có khả năng dễ bị tổn thương trên toàn thế giới. Cho đến nay, các nhà nghiên cứu ước tính rằng hàng chục nghìn iPhone đã thực sự bị nhiễm.
Các phiên bản iOS mới hơn cũng đang bị các tác nhân nhà nước nhắm mục tiêu tích cực, mặc dù chưa bị khai thác ở quy mô này. Nhưng xu hướng rất rõ ràng: khi quá trình phát triển khai thác tăng tốc, đặc biệt là với sự hỗ trợ của trí tuệ nhân tạo, những khả năng này sẽ trở nên rẻ hơn và phổ biến hơn. Việc xâm nhập thiết bị di động quy mô lớn sẽ trở nên phổ biến hơn.
Bài học rất đơn giản: Lưu trữ các bí mật có giá trị trên các thiết bị đa năng về cơ bản là rất rủi ro. Khi chỉ một lần truy cập trình duyệt cũng có thể làm tổn hại toàn bộ điện thoại di động, việc dựa vào ví phần mềm để bảo vệ tài sản có giá trị cao không còn là mô hình bảo mật khả thi nữa.
Đối với những ai quan tâm đến chi tiết kỹ thuật, tôi khuyên bạn nên đọc báo cáo xuất sắc này từ nhóm Google Threat Intelligence.
