Trong một nghiên cứu gần đây, công ty ZecOps cho biết đã tìm ra cách để chặn và mô phỏng quá trình khởi động lại iOS. Đây là một kỹ thuật mới, cho phép tin tặc đánh lừa người dùng nhằm duy trì quyền truy cập vào phần mềm độc hại trên hệ thống bị nhiễm.
Kỹ thuật này được đánh giá là rất tinh vi và có tác động lớn, khi mà những tiến bộ trong an ninh của iOS khiến mã độc không thể dễ dàng bám trụ trên thiết bị như trước.
Hầu hết các mã độc iOS tập trung vào việc lây nhiễm thiết bị, giành quyền truy cập root, thu thập và theo dõi người dùng cho đến khi nạn nhân khởi động lại iPhone và iPad, sau đó tin tặc cố gắng lây nhiễm lại thiết bị này.
Do đó, trong năm qua, nhiều chuyên gia an ninh mạng đã khuyến cáo rằng những người dùng nên thường xuyên khởi động lại thiết bị để loại bỏ backdoor hoặc các mã độc khác.
Tuy nhiên, ZecOps nói rằng quá trình khởi động lại iOS không thể tránh khỏi việc bị xâm phạm khi kẻ tấn công có quyền truy cập vào thiết bị.
Các nhà nghiên cứu đã phát triển một kỹ thuật mà họ gọi là NoReboot, cho phép tác động vào SpringBoard (ứng dụng Apple iOS UI, hay còn gọi là Màn hình chính) và Backboardd (daemon đằng sau SpringBoard) để phát hiện và chặn lệnh khởi động lại điện thoại (chẳng hạn như nhấn Giảm âm lượng + Nút nguồn) và sau đó tắt giao diện người dùng SpringBoard thay vì tắt toàn bộ hệ điều hành.
NoReboot làm cho màn hình thiết bị iPhone không có giao diện giống với trạng thái khi tắt nguồn. Tuy nhiên, thực tế nguồn của iPhone vẫn đang được bật.
Để ngăn thiết bị đổ chuông hoặc rung, ZecOps cho biết NoReboot cũng vô hiệu hóa các tính năng như phản hồi 3D Touch, chỉ báo đèn LED của máy ảnh, rung và âm thanh cho bất kỳ cuộc gọi đến hoặc thông báo nào.
PoC cũng bao gồm một màn hình khởi động giả mạo để mô phỏng quá trình khởi động lại toàn bộ iOS.
ZecOps cho biết kỹ thuật NoReboot hiệu quả với việc khởi động lại thông thường nhưng không hoạt động với khởi động lại bắt buộc diễn ra ở cấp độ phần cứng.
Nhà nghiên cứu cho biết: “Không có cách nào để tác động đến quá trình khởi động bắt buộc ở cấp độ phần cứng. Nhưng ở cấp độ phần mềm, nó dễ dàng hơn rất nhiều.”
Tuy nhiên, các nhà nghiên cứu của ZecOps cảnh báo rằng điều này không có nghĩa là thiết bị của họ an toàn nếu force restart.
Vì quá trình force restart yêu cầu người dùng nhấn nhanh các nút tăng âm lượng và giảm âm lượng nhiều lần, sau đó nhấn và giữ nút nguồn, hacker phát hiện và ngăn chặn việc khởi động lại này, và thực hiện cuộc tấn công NoReboot.
Việc phát hiện và tiết lộ tấn công NoReboot mới nhấn mạnh rằng người dùng không nên chỉ dựa vào khởi động lại iOS để xóa mã độc khỏi thiết bị, thay vào đó nên sử dụng các ứng dụng an ninh và các công cụ khác để xác định và loại bỏ các phần mềm độc hại.
Hiện tại, chưa phát hiện bất kỳ mẫu mã độc nào sử dụng kỹ thuật NoReboot.
Theo nguồn sưu tầm.