Tại sao 'Zero Day' Hack Android Giờ Đắt Hơn Cả Tấn Công iOS

Trong nhiều năm qua, iPhone được coi là thiết bị tính toán chính thống khó bị xâm phạm nhất trên thế giới. Sự phổ biến và các lớp bảo vệ an ninh đã làm cho bất kỳ kỹ thuật crack nào trở nên hiếm hoi hơn — và đắt đỏ hơn, trên thị trường ngầm — so với các tấn công Android tương đương. Nhưng bây giờ, kinh tế đã thay đổi. Lần đầu tiên, một công cụ hack bí mật có khả năng kiểm soát từ xa một điện thoại Android được bán đắt hơn so với phiên bản iPhone tương đương.

Vào thứ Ba, công ty Zerodium, mua bán những lỗ hổng zero-day được gọi là exploits tận dụng các lỗ hổng phần mềm bí mật, đã công bố danh sách giá cập nhật. Giờ đây, họ cung cấp lên đến 2.5 triệu đô la cho một kỹ thuật hack zero-click có thể kiểm soát hoàn toàn, im lặng một chiếc điện thoại Android mà không cần tương tác từ người dùng mục tiêu. Điều này không chỉ là số tiền mà Zerodium đã từng đề xuất cho bất kỳ zero-day exploit nào; đó cũng là 500,000 đô la nhiều hơn so với số tiền mà công ty đưa ra cho một cuộc tấn công zero-click nhắm vào iPhone. Và thậm chí, Zerodium đã giảm giá cho những exploit "one-click" nhắm vào iPhone qua trình duyệt web, từ 1.5 triệu xuống 1 triệu đô la. Giá một số cuộc tấn công iMessage giảm một nửa, từ 1 triệu xuống 500,000 đô la.

"Trong vài tháng qua, chúng tôi đã quan sát thấy sự tăng lên về số lượng exploit iOS, chủ yếu là chuỗi Safari và iMessage, được phát triển và bán bởi các nhà nghiên cứu từ khắp nơi trên thế giới. Thị trường zero-day bị ngập tràn bởi các exploit iOS đến mức chúng tôi gần đây đã bắt đầu từ chối một số trong số chúng," Chaouki Bekrar, người sáng lập Zerodium, viết trong một tin nhắn gửi tới MYTOUR. Trong khi đó, Bekrar viết, "Bảo mật Android đang được cải thiện với mỗi bản phát hành mới của hệ điều hành nhờ vào các đội an ninh của Google và Samsung, nên trở nên rất khó và tốn thời gian để phát triển chuỗi exploits đầy đủ cho Android và thậm chí còn khó khăn hơn để phát triển zero-click exploits không yêu cầu bất kỳ tương tác nào từ người dùng."

Bekrar thêm rằng đối với những phần thưởng hàng đầu của mình, Zerodium tập trung vào các thiết bị của Google, Samsung, Huawei và Sony. "Exploits cho các thiết bị khác vẫn đáng chú ý và được chấp nhận nhưng giá của chúng sẽ được thảo luận từng trường hợp," ông viết.

Các con số mới của Zerodium tạo nên một sự tương phản đậm nét so với những năm trước. Khi công ty công bố danh sách giá zero-day ban đầu, có quy mô nhỏ hơn vào năm 2015, họ cung cấp lên đến 500,000 đô la cho các tấn công iOS và tối đa chỉ 100,000 đô la cho các kỹ thuật hack Android.

Mặc dù được nhìn nhận là danh sách duy nhất công khai về giá trị zero day, biểu đồ giá của Zerodium không nhất thiết phản ánh những gì những người mua zero-day như cảnh sát và các cơ quan tình báo có thể thực sự trả cho các công cụ hack mới. Một số người trong ngành an ninh coi danh sách giá của Zerodium chủ yếu là một công cụ tiếp thị cho công ty, nhằm ảnh hưởng đến giá cả thay vì ghi lại chúng.

Nhưng Maor Shwartz, một nhà nghiên cứu độc lập về lỗ hổng bảo mật và người sáng lập của công ty môi giới lỗ hổng Q-Recon đã giải thể, nói rằng những biến động phản ánh nhận định của riêng ông. "Trong thực tế ngày nay, đa số mục tiêu là Android, và có ít lỗ hổng hơn vì nhiều lỗ hổng đã được vá," Shwartz nói. Ông đã chia sẻ về việc bán zero days cho khách hàng chính phủ tại hội nghị an ninh Black Hat tháng trước. "Bắt đầu từ một năm trở lại đây, khách hàng đã hỏi tôi, bạn có biết ai đó đang làm việc trên Android và có lỗ hổng không? Tôi bắt đầu có cảm giác này rằng thị trường đang thay đổi."

Shwartz cho biết một cuộc tấn công trên web nhắm vào một chiếc điện thoại Android cao cấp hiện có thể bán với giá hơn 2 triệu đô la không độc quyền, có nghĩa là người nghiên cứu có thể bán nó với giá đó cho nhiều người mua. Một cuộc tấn công iPhone trên web, theo ông, có giá khoảng 1.5 triệu đô la không độc quyền. Ông cũng nói rằng tỷ lệ này cũng áp dụng rộng rãi hơn; một cuộc tấn công Android thường có giá khoảng 30% cao hơn so với phiên bản iPhone tương đương.

Việc tìm cách xâm nhập vào thiết bị mục tiêu thông qua trình duyệt điện thoại trên Android đã lâu khó hơn so với iOS, Shwartz lập luận, do tính an toàn tương đối của Chrome so với Safari. Nhưng nguồn gốc thực sự của những thay đổi làm cho việc tận dụng Android trở nên đắt hơn, theo ông, là sự khó khăn trong việc tìm ra một lỗ hổng "local privilege escalation" cho Android, cho phép kẻ tấn công kiểm soát sâu sắc hơn một chiếc điện thoại sau khi họ đã có một vị thế. Nhờ chủ yếu vào các biện pháp bảo mật tăng cường trên điện thoại Android, các exploit LPE bây giờ khá khó tìm kiếm cho Android như chúng cũng khó tìm kiếm cho iOS, Shwartz cho biết. Kết hợp với khó khăn trong việc tìm ra một lỗ hổng trình duyệt có thể tấn công để bắt đầu chuỗi tận dụng, điều đó làm cho Android trở thành một mục tiêu khó hơn — và đắt hơn — tổng cộng.

Shwartz đánh giá cao phần nào sự tăng cường an ninh của Android là do chiến lược mã nguồn mở của nó cuối cùng đã có lợi. Trong khi Apple đã giữ hệ điều hành của mình khóa chặt đến mức thậm chí những nhà nghiên cứu bảo mật tốt lành cũng gặp khó khăn trong việc tìm ra lỗ hổng của nó — một vấn đề mà họ đã cố gắng giải quyết bằng cách mở rộng và mở rộng chương trình thưởng lỗ hổng của mình gần đây — phương pháp tiếp cận mã nguồn mở của Android có nghĩa là có nhiều mắt hơn đối với mã nguồn của nó. Mặc dù sự rộng lớn này ban đầu dẫn đến nhiều lỗ hổng, những lỗ hổng này đã được vá theo thời gian, từ từ làm cứng hệ điều hành. "Rất nhiều lỗ hổng đã được vá nên bề mặt tấn công giảm đáng kể," Shwartz nói.

Android đã lâu gặp vấn đề về việc vá lỗ hổng an ninh do phụ thuộc vào các nhà sản xuất và nhà mạng bên thứ ba. Những vấn đề này không được ghi lại trong danh sách giá của Zerodium, vì công ty tập trung vào các lỗ hổng zero day trên các thiết bị đã được vá đầy đủ.

Nhưng đáng chú ý, Google đã từ từ làm cho bên trong điện thoại Android trở nên khó chấp nhận với hacker, bao gồm cả việc phát hành Android 10 ngày hôm nay: Nó thêm mã hóa dựa trên tệp mới, ví dụ, và "hộp cát" được làm mới để tách biệt quyền truy cập của ứng dụng khỏi phần còn lại của hệ điều hành. Trên thực tế, Google đã dành nhiều năm thêm vào các "biện pháp giảm nhẹ" làm cho việc hack thiết bị khó khăn hơn ngay cả khi phát hiện lỗ hổng bảo mật mới. Ví dụ, vào năm 2018, họ giới thiệu Control Flow Integrity, được thiết kế để ngăn một chương trình độc hại nhảy xung quanh trong bộ nhớ để đánh lừa biện pháp bảo mật cũ hơn mà ngẫu nhiên hóa vị trí bộ nhớ của mã, và Integer Overflow Sanitization, được thiết kế để ngăn chặn loại lỗ hổng đã bị khai thác vào năm 2015 bởi một loại tấn công được biết đến là Stagefright.

Nhưng Shwartz chú ý rằng ngoài những biện pháp giảm nhẹ đó, giá ban đầu cao của iOS zero days cũng thu hút sự chú ý lớn từ các nhà nghiên cứu bảo mật, dẫn đến một lượng lớn tấn công iOS so sánh. Số lượng lớn của những cuộc tấn công đó được nhấn mạnh ngay tuần trước, khi Google tiết lộ rằng một chiến dịch hack đã sử dụng năm chuỗi tấn công iOS hoàn chỉnh khác nhau, nhúng những cuộc tấn công đó vào các trang web để xâm nhập vào điện thoại của hàng nghìn nạn nhân. Trong một phát hiện của Google tháng trước, nghiên cứu an ninh Natalie Silvanovich của công ty đã khám phá không ít hơn sáu cuộc tấn công zero-click cho iOS.

Không chỉ là biện pháp bảo mật bổ sung của Android, sự mất cân đối trong sự chú ý đối với iOS so với Android đã giúp đẩy giá của Android zero days tăng lên, theo lời của Shwartz. Những giá cao đó không nên làm cho người dùng Android có rủi ro cao hoàn toàn an tâm; sự hấp dẫn của những phần thưởng cao hơn này thực tế có thể đồng nghĩa với việc hệ điều hành này sắp trải qua một chuỗi nghiên cứu về lỗ hổng gia tăng. "Hiện nay có một nhu cầu thực sự về những lỗ hổng Android và giá cả, vì khoảng cách này, đã tăng vọt," Shwartz nói. "Mọi nhà nghiên cứu mà tôi đã nói chuyện, tôi đã nói với họ, nếu bạn muốn kiếm tiền, hãy tập trung vào Android."

• Không ai đang xem những bộ phim quái vật khổng lồ hay nhất
• Làm thế nào để tận dụng tối đa pin điện thoại thông minh của bạn
• Bạn đang đua về một bức tường. Bạn nên phanh mạnh hay quẹo
• Lịch sử kế hoạch ném bom hạt nhân vào siêu bão (và còn nhiều thứ khác)
• Đối với những chiến binh sử dụng kiếm, những trận chiến trung cổ vẫn còn sống
• 👁 Nhận dạng khuôn mặt đang đến mọi nơi. Bạn có nên lo lắng không? Ngoài ra, đọc tin tức mới nhất về trí tuệ nhân tạo
• ✨ Tối ưu hóa cuộc sống gia đình của bạn với những lựa chọn tốt nhất từ đội ngũ Gear của chúng tôi, từ robot hút bụi đến đệm giá rẻ đến loa thông minh.