Bài viết là chia sẻ của Lorenzo Franceschi-Bicchierai tại Motherboard.Vice.
Đứng cạnh 2 hacker iOS giỏi nhất Thế giới, Mathew Solnik trả lời những thắc mắc của hàng trăm người dùng.
"Có lẽ tôi sẽ trả lời câu hỏi mà ai cũng có: Làm thế nào mà chúng tôi có thể thực hiện được điều đó?" - Solnik, một nhà nghiên cứu bảo mật nổi tiếng phát biểu trong một hội nghị của những hacker mũ đen tại Las Vegas tháng 8 năm 2016. Tham gia hội nghị này là rất nhiều chuyên gia bảo mật khác, cùng các hacker mũ đen, những nhà nghiên cứu bán dịch vụ mở khóa iPhone và các cả nhân viên của Apple.
Thứ mà họ đang nói tới là bộ xử lý bảo mật (SEP - Secure Enclave Processor) của iPhone, một trong những thành phần phần cứng lưu trữ mọi thông tin mã hóa của sản phẩm. Việc làm thế nào để anh Solnik giải mã được thành phần này trong iPhone - chiếc smartphone được cho là có tính bảo mật nhất Thế giới - trong một thời gian dài vẫn là một điều bí ẩn.
Nhưng cho tới hôm nay, 2 năm sau hội nghị đó thì chúng tôi mới biết được cách nào mà nhóm của anh Solnik có thể làm được điều đó, và cũng qua cuộc điều tra này, tôi đã biết được cách mà các nhà nghiên cứu bảo mật khác khai thác mã nguồn trong những thành phần được bảo mật nhất của các thiết bị điện tử.
Câu trả lời có lẽ khó có ai ngờ tới: nhóm của anh Solnik đã sử dụng một chiếc iPhone phiên bản thử nghiệm, hay còn gọi là dev-fused. Những sản phẩm loại này được tạo ra nhằm nghiên cứu thành phần SEP như đã đề cập ở trên. Để tiện cho việc nghiên cứu, các sản phẩm này đều trong trạng thái mở, người dùng hoàn toàn có thể truy cập để tinh chỉnh.
Nói một cách khác, đây là những chiếc iPhone được jailbreak sẵn bởi chính Apple.
Các sản phẩm dev-fused không có các tính năng bảo mật giống với bản thương mại, giúp cho các nhà nghiên cứu dễ dàng tìm hiểu về cơ chế bảo mật. Đây cũng là sản phẩm giúp cho các hacker tìm được những lỗ hổng lớn trong hệ thống iOS, trong đó có lỗ hổng Zero Days đầy nguy hiểm.
Với kiểu thiết kế như vậy, tất nhiên là những chiếc iPhone này chỉ được phép lưu hành nội bộ, nhưng bằng một cách nào đó đã được 'tuồn' vào các chợ đen, nơi mà chúng được các 'thương lái' bán với giá hàng ngàn USD cho các nhà nghiên cứu và hacker.
Bằng cách nghiên cứu những chiếc iPhone dev-fused này, các hacker có thể tìm cách mở khóa cho hàng trăm triệu chiếc iPhone bản thương mại đã bán ra trên thị trường.
Trong quá trình nghiên cứu, chúng tôi đã nói chuyện với hơn 2 chục chuyên gia bảo mật, cựu nhân viên Apple, các nhà sưu tầm smartphone hiếm và những người chuyên jailbreak iOS để bàn luận về máy iPhone dev-fused.
Chính tôi cũng đã được tận tay sử dụng những chiếc iPhone này để truy cập vào hệ thống root của máy, điều khiển được những thành phần đã bị Apple khóa cứng. Tôi biết được rằng, bằng cách nghiên cứu các iPhone dev-fused, các nhà phát triển đã tìm ra được những lỗ hổng phần mềm có thể bị lợi dụng bởi các cơ quan tình báo và chính phủ.
Một chiếc iPhone X dev-fused kết nối với máy tính Mac bằng một sợi dây đặc biệt.
Trở lại với hội nghĩ của các hacker mũ đen, 2 người đứng bên cạnh anh Solnik là David Wang và Tarjei Mandt - được biết dưới tên gọi Planetbeing và Kernelpool trong giới jailbreaker iOS.
Họ bàn luận về bộ xử lý SEP và những cách để Apple có thể trích xuất thông tin từ nó, cùng với cách mà bộ xử lý này giao tiếp với bộ xử lý ứng dụng bằng 'hộp thư bảo mật'. Đối với các hacker iPhone, thì đây đều là những thông tin vô cùng quan trọng.
Một trong những lý do tại sao iPhone rất khó hack đó là Apple khóa cứng bộ SEP và các thành phần then chốt khác dẫn đến nó. Sử dụng các iPhone thông thường, bộ SEP bị mã hóa, và trên lý thuyết là không có cách để giải mã. Nhưng với những chiếc iPhone dev-fused thì công việc này trở nên dễ dàng hơn rất nhiều.
"Tôi ước gì thể nói rằng mình đã tìm cách phá khóa được iPhone bằng cách chính thống, nhưng như các sản phẩm khác, chúng tôi đã phải sử dụng các máy thử nghiệm" - một hacker với biệt danh Panaetius cho hay. Panaetius không muốn bị lộ tên thật, vì việc sử dụng máy dev-fused có thể đã đưa anh vào 'tầm ngắm' của Apple.
Một nhà nghiên cứu bảo mật đã hỏi anh Wang tại hội nghị rằng làm cách nào mà nhóm của anh có thể thâm nhập vào bộ SEP của iPhone, thì nhận được câu trả lời rằng anh Solnik có rất nhiều máy dev-fused dùng để nghiên cứu.
Một nhà nghiên cứu iOS khác - cũng không muốn lộ danh tính - nói rằng anh đã nhìn thấy bộ sưu tập iPhone thử nghiệm của Solnik, và việc anh sử dụng một sợi dây đặc biệt để kết nối nó với máy Mac.
Tại hội nghị năm 2016, nhóm của Solnik rất kín tiếng về quá trình làm việc của mình vì trên toàn cầu chỉ có mình họ chiếm quyền được bộ SEP. Nhưng nhờ có sự phổ biển của các iPhone dev-fused, hiện nay đã có rất nhiều có thể làm được điều tương tự. Lisa Braun, một hacker khác cũng nói rằng đã chiếm quyền được SEP của một máy iPad Air 2 phiên bản thử nghiệm.
Theo 5 nguồn tin đáng tin cậy thì công ty chuyên bán các thiết bị để hack iPhone sở hữu và sử dụng iPhone dev-fused trong quá trình nghiên cứu của mình. Cellebrite khi được hỏi thì không cho bất cứ câu trả lời nào.
Chris Wade, đồng sáng lập của Corellium, một start-up giúp người dùng có thể tạo ra các giả lập của bất cứ sản phẩm iOS nào trên thị trường, nói rằng cũng đã được thử nghiệm một chiếc máy dạng thử nghiệm.
Wade với biệt danh cmw nói với chúng tôi rằng anh ấy chưa bao giờ bỏ tiền ra mua máy dev-fused. Anh thừa nhận rằng đã từng 'dùng qua' dòng máy này, nhưng không sử dụng chúng để phát triển phần mềm của công ty mình.
"Tôi muốn khẳng định rằng Corellium chưa bao giờ sử dụng các máy bản thử nghiệm để phát triển sản phẩm, chúng tôi không dùng hàng ăn cắp. Tôi đã dành nhiều năm để gây dựng Corellium, và tôi không muốn Apple kiện để rồi phải mất tất cả!"
Trước hội nghị năm 2016, Apple không hề phát hành các bản kernel đã được mở khóa cho công chúng. Việc phân tích nhân kernel cũng là một bước rất quan trọng trong việc hack iPhone và tìm hiểu kĩ càng về hệ điều hành iOS.
Và thời kì này, những chiếc iPhone dev-fused được bán với mức giá hàng chục ngàn USD là dụng cụ đắc lực để thực hiện công việc đó. Theo một bài viết Twitter của anh Mandt, thì nếu ai có tiền và thời gian thì hoàn toàn có thể mua được những sản phẩm thử nghiệm. Mặc dù số lượng có hạn, nhưng nếu bạn tìm hiểu kĩ thì vẫn hoàn toàn có thể mua được chúng.
"Tôi đến rồi đây", tôi nhận được tin nhắn này khi đang 'run như cầy sấy' khi đi trên con phố đông đúc Manhattan. Tôi nhìn lên và thấy một người đàn ông gầy gò, có tóc đen dài, đội một chiếc mũ sặc sỡ và tất nhiên, tay anh ta đang cầm một chiếc iPhone.
Tôi đi theo anh ta vào một cửa hàng, có cửa tích hợp cảm biến vân tay mà được anh ta 'quảng cáo' là do chính mình thiết lập. Trong cửa hàng này có một vài ván trượt, 2 bể cá và một tấm biển vô cùng lớn: "Chúng mày lấy đồ của tao thì tao sẽ đập nát mặt chúng mày!"
Người đàn ông này là một trong những số hiếm người quảng cáo bán các sản phẩm dev-fused trên mạng. Trên trang Twitter của anh ta, mang tên 'Cửa hàng Apple bí mật', có những sản phẩm iPhone được đăng bán, trong đó có chiếc iPhone X dev-fused có giá 1800 USD. Anh nói rằng đã có rất nhiều công ty bảo mật mua iPhone bản thử nghiệm, và tin rằng họ vẫn đang giữ để sử dụng.
"Họ không quan tâm đến tiền đâu, dù giá có cao đến mấy thì công ty của họ cũng chi tiền để mua."
Khi được hỏi về nguồn hàng, anh bỗng trở nên kín tiếng.
"Tôi không hề đi ăn cắp, tôi cũng bỏ tiền ra để mua chúng về" - anh vừa nói vừa lấy một khay đầy iPhone thử nghiệm - "nếu bạn không tung các bản thử nghiệm như iPhone 11 lên mạng, thì Apple cũng không làm gì bạn cả!"
Trong một vài sản phẩm trong khay đó có miếng dán khi chữ FOXCONN - nhà máy sản xuất iPhone và các sản phẩm khác của Apple.
Các sản phẩm này nhìn rất giống các bản có mặt trên thị trường cho tới khi bạn mở chúng lên. iPhone dev-fused chạy một hệ điều hành riêng biệt gọi là Switchboard, có hình nền đen và các ứng dụng kiểm tra độ ổn định, kiểm tra tính năng trên thiết bị.
Việc sử dụng các ứng dụng này quả thực là khó chịu, vì chúng được thiết kế để sử dụng chung với máy tính, đa phần còn không có giao diện cảm ứng hoàn chỉnh. Nhưng một điểm rất vui vẻ: những ứng dụng tại Switchboard có những điều thú vị nho nhỏ mà Apple không hề cho phép ở những ứng dụng ở App Store.
Ví dụ như icon của ứng dụng thử tính ổn định là hình con chó Doge - một meme đã từng rất nổi tiếng trong quá khứ. Ứng dụng này cho phép ta kiểm tra các tính năng của máy như camera, loa, microphone, pin và cảm biến ánh sáng.
Ứng dụng Ness có nhân vật chính của game Earthbound từ Nintendo, dùng để đo nhiệt độ bên trong iPhone. Ứng dụng nữa mang tên Sightglass có logo giống với một hàng café tại San Francisco.
Đối với những người không có kiến thức thì chiếc iPhone này trở nên vô dụng. Nhưng khi rơi vào tay những hacker lành nghề, kết nối chúng với máy Mac qua một cọng dây đặc biệt mang tên Kanzi thì họ có thể kiếm được số tiền lớn hơn rất nhiều so với những gì họ bỏ ra để mua chúng về.
Ta phải sử dụng sợi dây đặc biệt vì Apple sử dụng giao thức riêng để thử nghiệm iPhone trong nhà máy, chứ không sử dụng giao thức giống với dây được bán ra trên thị trường. Việc xâm nhập vào hệ thống của iPhone dev-fused cũng không quá khó, ta chỉ cần vào hệ thống bằng tài khoản mang tên 'root' và mật khẩu 'alpine'.
Không phải iPhone dev-fused nào nhìn cũng giống nhau, có những chiếc được đặt vào các gá rấ dày để người dùng có thể mở và đóng máy dễ dàng nhằm xem các linh kiện bên trong. Một chiếc tôi nhìn thấy còn có dây cắm chằng chịt từ trong ra ngoài để người dùng có thể gắn thêm các thiết bị khác nữa.
Quả thực, việc tìm các sản phẩm này trên mạng không khó, miễn là bản đủ tiền và chấp nhận rủi ro là Apple đang tìm tới bạn để kiện! Ngoài cửa hàng đã nói trên, cũng có một tài khoản mang tên Jin Store cũng bày bán công khai những chiếc iPhone dạng này.
Tại đây, ta có thể mua được những dòng máy như iPhone 8 Plus giá 5000 USD, iPhone XR 20.000 USD, hay các dòng máy cũ hơn như iPhone 6 với giá 1300 USD. Giá bán của chúng có thể dao động lên xuống, tùy vào mức khó dễ để mở khóa.
Trong một cuộc nói chuyện trên Wechat, tôi biết được rằng chủ nhân của Jin Store quen Solnik, nhưng không muốn tiết lộ rằng anh có phải là khách hàng hay không.
Một chủ cửa hàng bán iPhone dev-fused nữa mang tên Mr. White nói rằng anh có gần hết tất cả các dòng máy. Anh cũng nói rằng đã bán được rất nhiều sản phẩm cho các nhà nghiên cứu bảo mật.
"Tôi không biết làm cách nào để mở SEP, nhưng có đầy đủ các thiết bị để bán cho các nhà nghiên cứu".
Mặc dù việc tìm mua các dòng máy iPhone dev-fused không quá khó, nhưng nguồn hàng của các cửa hàng bán chúng cũng không phải dồi dào. Trong một bài viết tại Hacker News, một phóng viên mang tên Will Strafach nói rằng: "Những sản phẩm này sử dụng chứng chỉ phát triển và khóa riêng, việc sử dụng chúng có thể làm người dùng bị kiện bởi Apple, hoặc có nguy cơ bị lừa đảo."
Sau buổi phát biểu của nhóm Solnik, trưởng bộ phận an ninh của Apple là Krstić cũng đã có mặt tại hội nghị BlackHat. Tại đây, ông cũng đã nói qua về các sản phẩm iPhone thử nghiệm. Đây có lẽ là lần duy nhất một nhân viên của Apple nói về sự tồn tại của các sản phẩm này, vì quả thực Apple không bao giờ nhắc tới chúng.
Khi được hỏi trên Twitter, anh Krstić nói rằng không được phép bàn bạc các việc của công ty trên mạng xã hội, thay vào đó có thể cung cấp cho chúng tôi "cách chuẩn bị món thịt bò tảng độc đáo đến mức khó hiểu" của anh.
Mặc dù không được bàn luận một cách công khai, nhưng những chiếc máy này đã được những nhân viên an ninh và hacker sử dụng rất nhiều. Theo một người chuyên buôn lậu từ Trung Quốc, thì: "Những dòng máy này rất phổ biển ở giới nghiên cứu an ninh. Đã có rất nhiều người hỏi tôi để mua chúng, và sẵn sàng trả số tiền rất lớn."
Andrew 'Bunnie' Huang, một người đã có kinh nghiệm trong việc tìm mua iPhone thử nghiệm đã viết một bài blog để hướng dẫn mọi người đi muốn sở hữu sản phẩm này tại thành phố Shenzhen - thủ đô công nghệ của trung Quốc. Tại đây, những chiếc máy này được cung cấp bởi Apple cho các nhà máy của Foxconn, nhưng bị các nhân viên ăn cắp và bán ra ngoài.
Theo như anh Huang thì thậm chí những nhân viên này còn không biết được giá trị thực sự của những sản phẩm họ 'tuồn' ra ngoài. Họ như đang ngồi trên một đống vàng, nhưng bán chúng ra với giá rẻ như rác. Cũng theo anh, các sản phẩm này được ví như một căn nhà đã có tường, có cửa, nhưng chưa gắn khóa nên tất cả mọi người đều có thể vào để thăm quan.
Đối với những sản phẩm dạng thương mại, hay gọi là 'production fused' thì việc xâm nhập vào hệ thống bảo mật iOS thực sự rất khó, và có thể đem về cho những ai làm được số tiền lên tới hàng triệu USD. "Các sản phẩm được bán ra trên thị trường đều có 1 chân pin bị phá hỏng, nếu chân pin này vẫn còn và phần mềm đang ở dạng Switchboard thì chắc chắn các sản phẩm này là bản dev-fused."
Vào 2017, Motherboard cũng đã đưa tin rằng có những hacker hàng đầu Thế giới không chịu thông báo những lỗ hổng bảo mật cho Apple, cho dù hãng có treo thưởng hàng triệu USD. Một trong những điều khó khăn để tìm ra các lỗ hổng trong iOS đó là bạn phải nhắm chắc được các lỗ hổng khác.
Nói một cách khác, thì các nhà nghiên cứu iOS cần biết được các lỗ hổng - thứ giúp họ có thể jailbreak máy và mở các tính năng bảo mật - để có thể tìm ra các lỗ hổng khác. Nếu như các nhà nghiên cứu cá nhân thông báo các lỗ hổng này cho Apple, thì họ sẽ 'mất việc' trong tương lai.
"Đây là những con gà đẻ trứng vàng cho những jailbreaker" - một hacker mang tên Panaetius chia sẻ - "Chúng là những thiết bị có cơ chế bảo mật, nhưng bạn có thể dễ dàng đẩy chúng sang một bên."
Các hacker thì không muốn tiết lộ rằng họ có sử dụng các thiết bị này để đột nhập vào iOS hay không, vì với họ sử dụng chúng cảm giác như đang 'ăn gian' vậy. Việc tự tìm tòi, mày mò sẽ giúp họ được tôn trọng hơn bởi các hacker khác.
Giulio Zompetti, một người chuyên sưu tầm máy iPhone dev-fused nói với tôi rằng anh sở hữu tới 14 chiếc iPhone, iPod và iPad bản thử nghiệm. Anh ấy nói rằng mặc dù sở hữu chúng, nhưng anh chỉ sưu tầm chứ không có ý định hack.
"Đối với tôi thì đây là một khoản đầu tư, vì đời máy càng cũ thì càng khó kiếm. Hơn nữa thì việc sưu tầm cũng rất vui, khi tôi mua được những thứ mà trên thị trường không bán tràn lan."
"Tôi cũng muốn lưu lại lịch sử" - Anh vừa nói vừa chỉ vào chiếc iPhone 5S anh mua được lúc iPhone 5 vẫn còn đang bán trên thị trường. Một nhà sưu tập khác cũng chia sẻ những sản phẩm của anh, nhiều tới mức tôi không muốn đếm!
Apple cũng biết rằng các sản phẩm này đang được mua đi bán lại trên thị trường. Theo nhiều nguồn tin, Apple cũng đã phải tăng cường an ninh tại các nhà máy Foxconn để tránh tình trạng các máy iPhone dev-fused bị ăn trộm và bán ra ngoài.
Các nhà nghiên cứu cũng không ngần ngại khi chia sẻ rằng mình sử dụng dòng máy này để tìm hiểu về iOS. Vào 2016, Solnik cũng đã đăng tải những gì mình làm được trên Twitter.
"Ai muốn xem một nhóm làm về an ninh phải nhạy dựng lên nào?" Anh viết trên Twitter cùng hình ảnh về việc đã xâm nhập được vào bộ xử lý SEP. Những bước anh làm thế nào để xâm nhập được SEP chưa bao giờ được đăng lên mạng, nhưng qua những vụ việc thế này mà danh tiếng của nhóm anh đã được đẩy lên rất cao trong làng hacker iOS.
Hiện nay nhóm này đã tách ra, với anh Mandt làm việc tại Azimuth, anh Wang đầu quân cho Corellium. Nhưng người đứng đầu là Solnik thì đến nay vẫn ẩn tích. Tại buổi thảo luận năm 2017, Solnik được cho là đang dẫn đầu một start-up OffCell, chuyên cung cấp các dịch vụ về an ninh cho chính phủ.
Nhưng tới 2017, anh được cho là đã được Apple thu nạp để làm việc trong đội ngũ bảo mật, hay còn được gọi là 'đội ngũ đỏ'. Những lời anh nói tại Black Hat đã làm những đại diện của Apple phải thấy ấn tượng nên đã thuê anh về. Song Solnik được cho là đã nghỉ việc sau một vài tháng.
Lý do tại sao Solnik lại rời Apple sau một thời gian ngắn hiện vẫn còn là một bí ẩn. Các nguồn tin của tôi, đa phần đều không hay biết về vụ việc này. Các nhân viên của Apple thậm chí còn không được nhắc tới Solnik vì đây là thông tin mật của công ty.
Dù gì đi nữa, thì thị trường iPhone dev-fused hiện nay cũng đã nở rộ. Và có vẻ như Apple đã không đủ sức để ngăn chặn thị trường đang 'chảy như lũ' này. Theo anh Viktor Oreshkin, thì "Tất cả mọi người đều được lợi từ các nhà quản lý thiếu trách nhiệm tại Foxconn, nhưng kẻ chịu thiệt hại duy nhất chắc chắn là Apple."