Buzz
Rò rỉ Chi Tiết Thông Tin Bí Mật của Apple về Một Công Ty An Ninh Đáng Tin Cậy
Corellium, một công ty an ninh mạng bán phần mềm ảo hóa điện thoại để phát hiện lỗi bảo mật, đã cung cấp hoặc bán công cụ của mình cho các nhà sản xuất phần mềm gián điệp và công cụ hacker nổi tiếng tại Israel, Các Tiểu Vương quốc Ả Rập Thống nhất và Nga, cũng như một công ty an ninh mạng có khả năng liên quan đến chính phủ Trung Quốc, theo một tài liệu rò rỉ được MYTOUR xem xét và chứa các thông tin nội bộ của công ty.
Tài liệu 507 trang, có vẻ được Apple chuẩn bị với mục tiêu sử dụng nó trong vụ kiện bản quyền năm 2019 chống lại Corellium, cho thấy rằng công ty an ninh này, với phần mềm cho phép người dùng thực hiện phân tích bảo mật bằng cách sử dụng phiên bản ảo của iOS của Apple và Android của Google, đã làm việc với các công ty có lịch sử bán công cụ của họ cho các chế độ đàn áp và các quốc gia có lịch sử nhân quyền kém.
Theo tài liệu rò rỉ, vào năm 2019, Corellium đã đề xuất cung cấp phiên bản thử nghiệm sản phẩm của mình cho NSO Group, một công ty mà khách hàng của nó đã nhiều năm liền bị bắt dụng phần mềm gián điệp Pegasus của nó chống lại các nhà hoạt động dân chủ, nhà báo và những người bảo vệ nhân quyền. Tương tự, nhân viên bán hàng của Corellium đề xuất cung cấp báo giá để mua phần mềm của họ cho DarkMatter, một công ty an ninh mạng đã đóng cửa có liên quan đến chính phủ UAE, đã thuê một số cựu thành viên tình báo Hoa Kỳ theo thông tin đã đưa ra, giúp họ gián điệp đối với các nhà hoạt động nhân quyền và nhà báo.
Trong thư tới MYTOUR, Corellium cho biết NSO Group và Dark Matter chỉ có quyền truy cập "phiên bản thử nghiệm có thời gian/giới hạn chức năng của phần mềm của Corellium" và cả hai đều bị từ chối yêu cầu mua phiên bản đầy đủ sau quá trình kiểm tra của công ty.
Trong nhiều năm, Corellium đã tạo hình bản thân mình như là một người bảo vệ quan trọng chống lại lỗi phần mềm trên Android và iOS. Nhưng tài liệu rò rỉ cho thấy Corellium đã làm việc với nhiều công ty sử dụng lỗ hổng và kỹ thuật khai thác để xâm nhập vào điện thoại di động, thay vì giúp Google và Apple vá lỗ hổng.
Tài liệu bao gồm các email giữa nhân viên Corellium và khách hàng hoặc khách hàng tiềm năng, bao gồm NSO Group và DarkMatter. Tài liệu không công khai và đây là lần đầu tiên được báo cáo ở đây.
"Là một trong những người yêu cầu thử nghiệm beta sớm của chúng tôi, chúng tôi rất vui được mời bạn và đội ngũ của bạn tại NSO Group đến với Corellium, nền tảng ảo hóa thiết bị di động đầu tiên và duy nhất trên thế giới. Chúng tôi nghĩ rằng bạn sẽ thực sự thích thú với các công cụ nghiên cứu bảo mật di động tiên tiến mà chúng tôi cung cấp," đọc trong một email ngày 26 tháng 3 năm 2019 giữa nhân viên hỗ trợ của Correllium và một nhân viên của NSO Group. "Phiên bản thử nghiệm của bạn sẽ kéo dài đến ngày 9 tháng 4. Tài khoản thử nghiệm có hạn, nhưng nếu bạn cần thêm thời gian, hoặc nếu bạn muốn bắt đầu thử nghiệm vào một thời điểm khác, chỉ cần cho chúng tôi biết."
Trong trường hợp của DarkMatter, tài liệu bao gồm một cuộc trao đổi email giữa một nhân viên của công ty và một địa chỉ email bán hàng của Corellium. Mặc dù không có ngày, nhưng có vẻ như chúng tham khảo đến việc đào tạo năm 2019 về cách sử dụng nền tảng mà Corellium cung cấp cho khách hàng tiềm năng tại hội nghị an ninh mạng Black Hat.
“Tôi là một người đào tạo tại Blackhat năm ngoái nơi mà bạn đã cung cấp cho chúng tôi quyền truy cập vào cổng thông tin trong vài ngày và tôi rất ấn tượng với số lượng tính năng mà nó có,” nhân viên DarkMatter viết. “Chúng tôi quan tâm đến việc mua nó. Bạn có thể cung cấp chúng tôi báo giá cho tất cả các tùy chọn hiện có mà bạn có không?”
“Chúng tôi rất vui khi biết rằng bạn đã thích sử dụng Corellium tại Blackhat, và thực sự chúng tôi có DarkMatter trong danh sách các đội cần liên hệ về sự có sẵn,” một nhân viên Corellium không tên trả lời. “Chúng tôi sẽ rất vui lòng cung cấp cho bạn báo giá với tất cả các tùy chọn được kiểm tra.”
Năm 2019, theo tài liệu, Corellium cũng bán phần mềm của mình cho Paragon, một công ty ít người biết đến và đã được báo cáo là một nhà cung cấp công nghệ giám sát của chính phủ. Corellium cũng cấp giấy phép phần mềm của mình cho một công ty có tên Pwnzen Infotech, những người sáng lập thuộc Pangu Team, một nhóm hacker iOS và iPhone nổi tiếng của Trung Quốc. Một đại diện bán hàng của Pwnzen nói với Reuters vào năm 2019, khi Pwnzen đã là khách hàng của Corellium, rằng công ty đã giúp hack điện thoại của một người bị nghi ngờ “phản động chính phủ” tại Trung Quốc.
“Có nhiều mối liên kết giữa Pwnzen và Chính phủ Cộng hòa Nhân dân Trung Hoa làm nảy sinh nhiều nguy cơ lo ngại,” nói Dakota Cary, một chuyên gia tư vấn tại Krebs Stamos Group, người đã viết nhiều báo cáo về an ninh mạng tại Trung Quốc. “Tăng cường khả năng hack của Pwnzen có thể xảy ra với sự tổn thương đến lợi ích an ninh của Hoa Kỳ,” ông thêm, giải thích rằng khả năng cải thiện của công ty có thể đã cung cấp cho chính phủ Trung Quốc các công cụ tốt hơn để tấn công mục tiêu trong và ngoài nước, bao gồm cả Hoa Kỳ.
Ngoài ra, tính đến ngày hôm nay, Corellium có Russian iPhone hacking company Elcomsoft làm khách hàng. Và vào năm 2019, Corellium bán phần mềm của mình cho đối thủ người Israel của Elcomsoft, Cellebrite, một công ty giúp cơ quan thực thi phá khóa iPhones và truy cập dữ liệu được lưu trữ bên trong. Cellebrite được cho là đã bán các sản phẩm hack điện thoại của mình cho các quốc gia như Trung Quốc, Saudi Arabia và Bahrain, trong số những quốc gia khác.
Corellium không bác bỏ tính chính xác của tài liệu, nhưng cũng không đối mặt với một loạt các câu hỏi về nội dung của nó. Thay vào đó, Giám đốc điều hành của Corellium, Amanda Gorton, chia sẻ một bản nháp của một bài đăng trên blog trong đó công ty nói rằng họ đã cung cấp thử nghiệm cho NSO Group và DarkMatter nhưng phủ nhận rằng hai công ty này đã trở thành khách hàng.
“Chúng tôi có cơ hội để có lợi nhuận từ những bên hành động xấu này và đã chọn không làm vậy,” đọc bài đăng trên blog. Nó tiếp tục giải thích rằng Corellium hạn chế bán sản phẩm điện toán đám mây của mình cho “ít hơn sáu mươi quốc gia” và có một “danh sách chặn” các tổ chức.
Corellium không chỉ định 60 quốc gia, cũng không trả lời các câu hỏi cụ thể về Paragon, Pwnzen, Cellebrite hoặc Elcomsoft. Công ty viết trong bài đăng trên blog rằng khi quá trình bán hàng diễn ra, việc đánh giá trở nên “chặt chẽ hơn.” Theo bài đăng trên blog, điều đó có nghĩa là Corellium hỏi về trường hợp sử dụng của khách hàng, thảo luận với “các liên lạc tin cậy trong cộng đồng an ninh, bao gồm cả các liên lạc tại các cơ quan chính phủ Mỹ khác nhau,” và xem xét sự hiện diện trực tuyến của khách hàng tiềm năng và điều tra về “quyền sở hữu, cấu trúc doanh nghiệp và nhân viên” của nó.
Apple không phản hồi đến yêu cầu bình luận, cũng như NSO Group, Cellebrite hoặc Pwnzen. XiaBo Chen, người xác định mình là người sáng lập Pwnzen trên LinkedIn, không phản hồi sau nhiều lần yêu cầu bình luận. Sau sự kiện tranh cãi xoay quanh vai trò của DarkMatter trong việc nhắm mục vào các nhà hoạt động và nhà báo, công ty được cho là đã đổi tên thành Digital14 vào năm 2019, sau đó là CPX vào năm 2021. Digital14 và CPX không phản hồi đến yêu cầu bình luận.
Idan Nurick, Giám đốc điều hành và đồng sáng lập Paragon, nói rằng “theo nguyên tắc, Paragon giữ bí mật về khách hàng của mình, cũng như các nhà cung cấp công nghệ, và công ty không tiết lộ bất kỳ thông tin nào liên quan đến những thực thể này.”
Vladimir Katalov, Giám đốc điều hành, đồng sáng lập và đồng sở hữu của Elcomsoft, xác nhận rằng công ty của ông là khách hàng của Corellium.
‘Những Khẳng Định Đầy Bí Ẩn’
Tài liệu rò rỉ, được chuẩn bị vào năm 2021 theo dõi theo một dòng thời gian đi kèm, phản ánh những lý lẽ của Apple chống lại Corellium, mà công ty cáo buộc đã vi phạm bản quyền và Đạo luật Bản quyền Thiên niên kỷ số thông qua việc tạo ra một phiên bản ảo của iOS. Mặc dù Apple chưa bao giờ trình bày công khai bằng chứng có trong tài liệu chống lại Corellium, hãng công nghệ này buộc tội Corellium trong vụ kiện về việc giúp các nhà nghiên cứu phát triển những lỗ hổng zero-day và phần mềm gián điệp cho các chính phủ trên khắp thế giới, gợi ý rằng đây là một trong những lý do chính mà Apple không tán thành phương pháp của Corellium, ngoài việc cáo buộc vi phạm bản quyền tưởng chừng như có thật.
“Mặc dù Corellium mô tả mình là cung cấp một công cụ nghiên cứu cho những người muốn khám phá các lỗ hổng bảo mật và các khuyết điểm khác trong phần mềm của Apple, nhưng mục tiêu thực sự của Corellium là lợi nhuận từ việc vi phạm rõ ràng của mình,” Apple nói trong đơn tố cáo. “Xa rời khỏi việc giúp đỡ sửa các lỗ hổng, Corellium khuyến khích người dùng của mình bán bất kỳ thông tin nào được phát hiện trên thị trường mở cho người trả giá cao nhất.”
Corellium đã mạnh mẽ bảo vệ chính mình trước các cáo buộc của Apple, nói rằng họ bán cho “các tổ chức tài chính nổi tiếng và được tôn trọng, cơ quan chính phủ và những nhà nghiên cứu bảo mật” sử dụng sản phẩm của họ cho mục đích hợp lệ.
Vào tháng 12 năm 2020, khi bác bỏ các cáo buộc vi phạm bản quyền của Apple, Thẩm phán Quận Rodney Smith của Quận Nam Florida, Hoa Kỳ, đã đứng về phía Corellium, viết trong quyết định về đơn xin xét xử tổng kết của các bên rằng “tư cách của Apple là đầy bí ẩn, nếu không nói là không trung thực.”
“Về quan điểm của Apple rằng Corellium bán sản phẩm của mình một cách không phân biệt, tuyên bố đó bị phản bác bởi bằng chứng trong hồ sơ cho thấy công ty có một quy trình đánh giá (nếu không hoàn hảo) và, trong quá khứ, đã sử dụng quyền tự quyết của mình để từ chối Corellium Product từ những người nghi ngờ có thể sử dụng sản phẩm cho mục đích đen tối,” thẩm phán viết. “Sau khi xem xét bằng chứng, Tòa án không thấy thiếu thiện chí và giao dịch công bằng.”
Vụ án đã điều khiển một bước ngoặt không ngờ vào tháng 8 năm 2021, khi Apple và Corellium giải quyết ngoài toà. (Các điều khoản của thỏa thuận được giữ kín.) Sau đó, chỉ vài ngày sau đó, công ty công nghệ này đệ đơn kháng cáo, giữ cho vụ kiện của mình chống lại Corellium không chấm dứt.
Danh Tiếng Xấu
Ngay cả vào năm 2019, NSO Group và DarkMatter đã có danh tiếng kém trong thế giới an ninh mạng. Tại thời điểm đó, đã có nhiều ví dụ về việc lạm dụng phần mềm đánh vần Pegasus của NSO Group, đặc biệt là đối với các nhà báo tại Mexico. Ronald Deibert, giám đốc của Citizen Lab, một tổ chức giám sát quyền số đặt tại Munk School của Đại học Toronto đã nghiên cứu về các công ty như NSO Group suốt nhiều năm, nói vào tháng 3 năm 2019 rằng có một “đống chứng cứ cho thấy công nghệ giám sát của NSO Group đang bị lạm dụng bởi khách hàng của mình, và công ty không chịu hoặc không thể thực hiện loại kiểm tra cẩn thận để ngăn chặn điều đó xảy ra.”
Cả Apple và Microsoft đều gọi NSO Group là “những chiến binh thế kỷ 21.”
Gorton công khai phủ nhận việc bán sản phẩm của Corellium cho DarkMatter và NSO Group và nói rằng Corellium không bán cho các công ty ở Trung Đông.
“Chúng tôi đã chắc chắn từ chối khách hàng đã tiếp cận chúng tôi. Tôi chắc bạn có thể tưởng tượng DarkMatter, NSO Group đều đã liên lạc và chúng tôi chỉ lịch sự từ chối, chúng tôi không bán ở khu vực đó,” cô nói trong cuộc phỏng vấn tháng 11 năm 2021 với podcast Decipher.
Trong cuộc phỏng vấn, cô bán nhiệm vụ tích cực và không gây tranh cãi của công ty mình, nói rằng Corellium có thể được sử dụng để giúp nhà nghiên cứu tìm lỗi và báo cáo chúng cho các công ty như Apple, điều mà các công ty như NSO Group, DarkMatter, Paragon, Pwnzen, Cellebrite và Elcomsoft không làm. Gorton thêm rằng săn lùng lỗ hổng bảo mật là “đúng như chúng tôi muốn thấy nền tảng được sử dụng cho.”
Trong quá khứ, các nhà quản lý và người sáng lập khác của Corellium đã lặp đi lặp lại việc bagatel hóa khả năng rằng những bên hành động xấu có thể sử dụng phần mềm của họ. Khi được hỏi liệu ông có lo ngại rằng khách hàng của Corellium có thể sử dụng sản phẩm để tìm lỗi và phát triển các lỗ hổng sau đó sẽ được chính phủ sử dụng, David Wang, một trong những người sáng lập của công ty, nói với Forbes vào năm 2018 rằng công ty sẽ “lựa chọn kỹ lưỡng người mà chúng tôi chọn để làm kinh doanh.”
Wang không phản hồi đến yêu cầu bình luận của MYTOUR.
Trong cuộc phỏng vấn podcast, Gorton cũng đối mặt với các câu hỏi về cách Corellium kiểm tra khách hàng để tránh bán cho những bên hành động xấu và rằng công ty đối với quá trình này “rất nghiêm túc,” chỉ bán ở khu vực châu Á-Thái Bình Dương, Liên minh châu Âu và Bắc Mỹ, và nghiên cứu các công ty họ không nhận ra. “Chúng tôi ưu tiên về phía cảnh báo,” cô nói.
Tài liệu rò rỉ bao gồm một email năm 2021 từ Steve Dyer, phó chủ tịch bộ phận bán hàng và phát triển kinh doanh tại Corellium, gửi đến Gorton. Trong email, Dyer giải thích quá trình kiểm tra “khách hàng trên đám mây hiện tại và tương lai” khi họ gửi yêu cầu thử nghiệm trực tuyến. Theo phần của quá trình, Dyer viết, là kiểm tra xem các công ty đó không đến từ các quốc gia bị chính phủ Mỹ trừng phạt, như Bắc Triều Tiên, Sudan, Syria và Nga. (Mặc dù Elcomsoft có trụ sở chính tại Nga, nhưng công ty không bị chính phủ Mỹ trừng phạt.)
“Trung Quốc đã được thêm vào danh sách để tự từ chối các phiên thử nghiệm,” Dyer viết.
Năm ngoái, chính phủ Mỹ đã thêm NSO Group vào danh sách chặn liên bang, ngăn cản bất kỳ công ty và cá nhân nào của Mỹ làm kinh doanh với công ty phần mềm gián điệp này. Trong thư tới MYTOUR, Corellium nói rằng họ đã tự nguyện từ chối bán phần mềm của mình cho NSO Group “hơn hai năm trước khi Bộ Thương mại Hoa Kỳ đưa NSO Group vào Danh sách Đối tác của mình.”
Tuy nhiên, sự tương tác của Corellium với những công ty gây tranh cãi này có thể làm thay đổi quan điểm của cộng đồng an ninh mạng rằng vụ kiện của Apple là một trường hợp của một ông khổng lồ công nghệ tự đánh giá cao đang theo đuổi một startup năng động với một sản phẩm sáng tạo mà họ không ưa.
John Scott-Railton, một nhà nghiên cứu cấp cao tại Citizen Lab, nói rằng việc tiếp cận của bộ phận bán hàng Corellium đối với NSO Group và DarkMatter là “một hành động có thể làm nhục” khi xem xét đặc tính của những công ty đó. “Tại thời điểm đó, cả Corellium và tất cả mọi người khác đều biết rõ NSO Group là ai và họ sẽ làm gì với loại công nghệ đó và những người sẽ không thể tránh khỏi thiệt hại,” Scott-Railton nói. “Nó đặt ra những câu hỏi về đạo đức của họ, sự đánh giá của họ, hoặc cả hai.”
Zach Edwards, một nhà nghiên cứu độc lập về quyền riêng tư và an ninh, nói rằng “công nghệ nhạy cảm không thể được bán một cách tùy tiện cho bất kỳ công ty nào, ở bất kỳ quốc gia nào trên thế giới.”
“Trong khi Corellium là một công cụ đảo mã hóa không tạo ra rủi ro nguyên bản thông qua việc bán hàng, mục đích cốt lõi của công cụ là đảo mã hóa phần malware,” Edwards nói. “Và nếu bạn bán sản phẩm cho các nhà phát triển malware ở các quốc gia phản đối lợi ích của phương Tây, chúng ta nên giả sử rằng công cụ này sẽ được sử dụng để cải thiện malware.”
Một người đã thử nghiệm Corellium trong quá khứ, người đã yêu cầu giữ nặc danh vì họ không được phép nói chuyện với báo chí, nói rằng “với những gì đang xảy ra trong thế giới ngày nay, bạn không nên giao dịch với các công ty Nga,” như Elcomsoft.
Giám đốc điều hành của Elcomsoft, Katalov, nói rằng “quyết định hợp tác với một công ty có trụ sở tại Nga là một lựa chọn cá nhân.”
“Hãy yên tâm rằng chúng tôi vẫn cố gắng cung cấp phần mềm và dịch vụ tốt nhất, và cố gắng duy trì mối quan hệ tốt với khách hàng của chúng tôi trên khắp thế giới,” ông thêm. “Chúng tôi chỉ cần tiếp tục làm công việc của mình, làm cho thế giới trở nên an toàn hơn và chiến đấu với tội phạm.”
Adrian Sanabria, một chuyên gia an ninh mạng, nói rằng không có gì ngạc nhiên khi “những nhóm quan tâm đến việc tạo ra lỗ hổng iOS sẽ sử dụng một nền tảng được thiết kế cho nghiên cứu an ninh iOS.”
“Đối với tôi, điểm quan trọng là Apple đã tạo ra nhu cầu cho các nền tảng như Corellium bằng cách không cung cấp các công cụ, quyền truy cập và sự minh bạch mà thị trường cần và mong muốn,” ông nói.
Khu Vực Nguy Hiểm
Một số tổ chức và công ty được liên kết với Corellium trong tài liệu đến từ các quốc gia được xem là gây tranh cãi bởi hầu hết mọi người trong cộng đồng an ninh mạng ở phương Tây, bao gồm cả Alex Stamos, người đã làm chứng chứng nhân chuyên gia cho Corellium trong vụ kiện chống lại Apple.
“Cá nhân tôi không tin rằng việc bán lỗ hổng cho Saudi Arabia là đạo đức,” Stamos, giám đốc Quan sát Internet của Đại học Stanford, nói trong lời chứng của ông được trích dẫn trong tài liệu.
Stamos cũng tỏ ra nghi ngờ về việc bán sản phẩm cho Các Tiểu vương quốc Ả Rập Thống nhất, chính phủ của họ có mối quan hệ chặt chẽ với DarkMatter. “UAE đã được chỉ ra sử dụng phần mềm độc hại và lỗ hổng để gián điệp theo dõi các nhà báo và đàn áp ý kiến bất đồng địa phương,” Stamos nói.
Trả lời các phát hiện trong tài liệu, Stamos nói rằng ông không nghĩ “điều đó thích hợp khi Apple sử dụng luật bản quyền để cản trở nghiên cứu an ninh, và tôi cũng không nghĩ rằng Corellium nên chịu trách nhiệm khi cung cấp sản phẩm của họ cho các công ty đã biết tạo phần mềm độc hại cho các quốc gia chuyên chế.”
Tài liệu cũng bao gồm các biểu tượng của các khách hàng được cho là của Corellium và các công ty liên quan đến nó. Ngoài các công ty đã được đề cập trước đó, tài liệu còn chứa biểu tượng của Azimuth, một nhà cung cấp công cụ hack tiên tiến cho các cơ quan tình báo và an ninh của Five Eyes. Các biểu tượng khác bao gồm Trung tâm Công nghệ Thông tin Chiến lược của Singapore, hoặc CSIT, cũng như biểu tượng của một cơ sở giáo dục ở Saudi Arabia mang tên Trung tâm Xuất sắc về Bảo mật Thông tin (COEIA), thuộc Đại học King Saud.
Giám đốc điều hành của CSIT không đáp lại yêu cầu bình luận. Ngoài biểu tượng của COEIA, tài liệu cũng cho thấy một email năm 2019 có tiêu đề “lời mời đến Corellium” được gửi đến tổ chức. COEIA không đáp lại yêu cầu bình luận.
Cuộc chiến pháp lý giữa Apple và Corellium đang tiếp tục. Cuối tháng trước, hai công ty đã xuất hiện tại một phiên điều trần trước Tòa án Phúc thẩm Thứ mười một của Tòa án Phúc thẩm Hoa Kỳ tại Florida. Luật sư của Apple, Melissa Sherry, đã lý giải rằng sản phẩm của Corellium chỉ là một phiên bản được điều chỉnh một chút của iOS không đủ đổi mới để không được sử dụng công bằng. Luật sư của Corellium, Kevin Russell, nói rằng sản phẩm giúp người dùng “hiểu rõ hơn về chức năng của hệ điều hành Apple” và do đó, là sử dụng công bằng.
“Tôi không nghĩ có một tranh cãi chân thật rằng mục đích của sản phẩm là khám phá chức năng không bảo vệ của phần mềm hệ thống,” ông nói. “Những gì mọi người làm với kiến thức đó là đối tượng của một đạo luật khác.”
