Một trong những biện pháp hữu hiệu nhất các hãng máy tính thường sử dụng để bảo vệ thiết bị khỏi ánh mắt soi mói của hacker đó là nhờ cậy đến sự hỗ trợ của công cụ điều hướng vật lý như bàn phím và chuột. Bằng cách cho phép người dùng lựa chọn giữa hai nút “chấp nhận” và “từ chối” một quyền truy cập bất kỳ của phần mềm vào dữ liệu nhạy cảm hoặc thông tin cá nhân, hệ điều hành có thể từ đó thiết lập chốt kiểm soát ngăn chặn malware và ứng dụng xấu, đồng thời vẫn cho qua các ứng dụng sạch.
Tuy nhiên, một cựu nhân viên NSA và hacker có tiếng Patrick Wardle đã dành một năm để nghiên cứu “thuyết âm mưu” nhức nhối cho rằng: Malware độc hại có thể thao túng cả chuột và bàn phím, sau đó tự động nhấp chuột vào nút “allow” – vốn là cửa kiểm soát cuối cùng ngăn cách giữa hệ thống máy tính và malware xâm nhập – giống như người thật.
Tại hội thảo hacker DefCon diễn ra ngày Chủ Nhật 12/8 ở Las Vegas, Mỹ, Wardle đã giới thiệu về một tập hợp các đòn xâm nhập hoàn toàn tự động anh đã thực hiện thành công trên hệ điều hành macOS phiên bản High Sierra mới nhất (cho đến khi Mojave chính thức ra mắt). Tập hợp đoạn mã độc có khả năng thực hiện hàng loạt cú nhấp chuột ảo được gọi là “synthetic clicks” (tạm dịch: click chuột tổng hợp) cho phép malware dễ dàng lọt qua nhiều cảnh báo yêu cầu người dùng bấm “từ chối” để chặn lại. Một khi đã truy cập được vào máy tính người dùng, hậu quả là malware này sẽ vượt qua rất nhiều tầng bảo mật để thực hiện những hành vi sai trái như định vị chính xác địa chỉ người dùng, đánh cắp danh bạ và thông tin cá nhân, hoặc nguy hiểm nhất là truy cập vào phân khu trung tâm của hệ điều hành, có tên là “kernel”, từ đó chiếm toàn quyền kiểm soát máy tính.
“Giao diện người dùng chính là điểm yếu cốt lõi của cuộc tấn công này. Nếu tìm được cách chủ động tương tác với những thông báo hiện lên trên màn hình, malware sẽ trở nên rất mạnh và có thể “đường đường chính chính” bỏ qua hết toàn bộ các cơ chế bảo mật sau đó”, Wardle cho biết.
Tập hợp mã độc do Wardle làm ra chỉ với mục đích thuyết trình và không để lại dấu vết gì trong hệ thống, thay vào đó chỉ xuyên qua các tầng bảo mật để thể hiện ý tưởng của anh. Tuy nhiên, chàng hacker nhấn mạnh kẻ xấu hoàn toàn có thể chỉnh sửa và sử dụng chúng như những công cụ hack thật sự nhằm bí mật đánh cắp thông tin người dùng, hoặc chiếm quyền kiểm soát sâu hơn trong một hệ thống nào đó vốn đã bị lây nhiễm bằng file gắn mã độc hoặc qua email “phishing”.
Click chuột “ảo”, malware thật
MacOS sở hữu một tính năng cho phép một vài phần mềm, chẳng hạn như AppleScript, tạo ra những cú click chuột “ảo” – một loạt cú nhấp chuột bằng phần mềm thay vì tín hiệu từ thiết bị ngoại vi vật lý – từ đó mở ra nhiều chức năng tự động và công cụ tương tác giúp người khuyết tật sử dụng máy tính hiệu quả hơn. Để ngăn không cho malware lạm dụng tính năng click “ảo” này, Apple sẽ hiển thị một thông báo “chặn” hoặc “cho phép” lên màn hình nếu phát hiện có phần mềm muốn truy cập.
Song Wardle đã môt phen bất ngờ khi phát hiện ra macOS không hề bảo vệ những thông báo nhạy cảm như danh bạ người dùng, truy cập lịch làm việc, đọc kinh độ-vĩ độ của thiết bị dựa trên mạng WiFi đang kết nối. Đoạn mã độc thử nghiệm của anh cứ thế mà click bỏ qua hết cảnh báo này đến cảnh báo hệt như người thật vậy.
Bên cạnh đó, Patrick còn chủ động thử nghiệm click chuột “ảo” với những kỹ thuật hack nguy hiểm hơn. Anh phát hiện ra malware của mình còn có thể tận dụng một tính năng khác có trong macOS tên là “mouse keys” – là chức năng cho phép người dùng điều khiển và tương tác con trỏ chuột trên màn hình qua bàn phím – từ đó thực hiện click chuột ảo và né được các cảnh báo bảo mật. Trong cuộc nói chuyện tại hội thảo an ninh mạng SyScan diễn ra ở Singapore hồi tháng ba, Wardle chỉ ra rằng Apple đã bỏ qua tính năng mouse key này, hậu quả là tính năng không bị chặn khi hiển thị cảnh báo “từ chối” – “cho phép” ngay cả khi malware đòi truy cập vào những thông tin đáng ra phải tuyệt mật như macOS keychain, vốn là nơi cất giữ dữ liệu người dùng như mật khẩu, và từ đó cài đặt extensions kernel cho phép thêm mã code vào phân khu tối quan trọng của hệ điều hành macOS.
Apple sau đó đã phản hồi bằng cách lập tức tung bản vá lỗi mouse key của Patrick. Tuy nhiên, sau đó, khi anh cố tìm cách đi vòng qua bản vá bảo mật, anh vấp phải một bug thậm chí còn “dị” hơn nữa. Cụ thể, một cú nhấp chuột ảo yêu cầu một lệnh “down” đi kèm với một lệnh “up”, giả lập động tác nhấn rồi nhả chuột trái. Nhưng khi Wardle vô tình copy nhầm đoạn code thành 2 lệnh “down”, hệ thống tự động dịch thành lệnh “down” rồi “up” – chính là dòng lệnh cần thiết để giả lập cú nhấp chuột. Nghiêm trọng hơn nữa, 2 lệnh “down” liên tiếp này không bị chặn khi được dùng để nhấp vào “cho phép” trong bảng cảnh báo cài đặt kernel mở rộng.
“Lúc đó tôi cảm thấy làm biếng và chỉ muốn ra ngoài lướt sóng một lát. Tôi copy rồi dán nhầm đoạn mã, nhưng nhờ thế tôi mới nhận ra lỗi ngớ ngẩn này trên macOS”, Patrick Wardle thành thật trả lời.
Nếu malware có thể được dùng để đánh lừa hệ thống cài đặt extension cho kernel, không điều gì có thể ngăn cản nó khai thác code vừa thêm vào để toàn quyền thao túng cả hệ thống. Kernel extensions cũng giống như driver của Windows ở chỗ 2 phần mềm này đều phải được ký tên bởi nhà phát triển để được phép cài đặt trên máy tính. Nhưng nếu một kernel có lỗ hổng bảo mật, malware có thể cài đặt extension lên kernel đó sau đó khai thác lỗi để chiếm quyền kiểm soát kernel.
“Rất nhiều malware cao cấp cố gắng làm điều này. Nếu có thể lây nhiễm kernel, bạn có thể nhìn thấy tất cả mọi thứ trên máy tính, vượt rào tất cả cơ chế bảo mật, ẩn náu trong hệ điều hành, theo dõi lịch sử gõ phím của người dùng. Nó thực sự là “game over” đối với thiết bị đó”, hacker cảnh báo.
Lỗi vặt, hậu quả nghiêm trọng
Apple về phần mình chưa trả lời WIRED về những phát hiện của Wardle. Wardle cho biết anh không hề thông báo trước với Apple chi tiết trong nghiên cứu của mình, thay vào đó để “Táo khuyết” có một phen “tròn mắt”. Nhưng anh làm vậy là có chủ đích của mình. Wardle cho biết anh đã thông báo rất nhiều lần với Apple tuy nhiên Nhà sản xuất MacBook không có vẻ gì muốn hợp tác: “Tôi đã báo cáo lại hàng tá bug với họ rồi và dường như họ không có ý định thay đổi. Vậy thì hãy thử một cách khác xem”.
Cần phải nói thêm, các cảnh báo bị click ảo vượt mặt thực chất vẫn hiện lên màn hình, giúp người dùng chứng kiến toàn bộ sự việc và nhận thức được máy tính đang nhiễm malware. Tuy nhiên, Wardle không quên chỉ ra rằng malware có thể “nằm vùng”, đợi cho đến khi phát hiện dấu hiệu cho thấy người dùng đang không sử dụng thiết bị, sau đó tự động kích hoạt và click qua một loạt cảnh báo macOS. Thậm chí nó còn có thể giảm độ sáng màn hình làm cho những hành vi lén lút của mình khó phát hiện hơn.
Đây là lời cảnh tỉnh cho tất cả người dùng internet nói chung và người dùng macOS nói riêng. Apple là một trong những công ty coi trọng bảo mật hàng đầu thế giới, nhưng sau cùng, “Táo khuyết” vẫn không thể nào tránh khỏi những thiếu sót nhất định. Tự bảo vệ mình bằng cách trang bị kiến thức cũng như xem xét kỹ lưỡng nội dung mình truy cập trên mạng là trách nhiệm và quyền lợi của mỗi người sử dụng máy tính. “Chúng ta cứ thấy những lỗi vặt ngớ ngẩn như thế này xuất hiện ngày một nhiều hơn. Lỗ hổng này thực sự “xàm xí”, nhưng đồng thời có thể trở thành mối nguy thực sự nghiêm trọng. Nó khiến tôi vừa buồn cười nhưng cùng lúc lại muốn khóc vậy”, Wardle dí dỏm.