Hacker khai thác MDM để theo dõi người dùng iPhone

Ginny Hà

VIP Members
04/06/2014
88
689 bài viết
Hacker khai thác MDM để theo dõi người dùng iPhone
Các chuyên gia an ninh mạng vừa phát hiện chiến dịch mã độc nhắm tới người dùng di động. Chiến dịch được cho là bắt đầu từ tháng 8/2015 và đã theo dõi dữ liệu của 13 người dùng iPhone tại Ấn Độ.

Hacker đã lợi dụng giao thức quản lý thiết bị di động (MDM) – một dạng phần mềm an ninh được các doanh nghiệp lớn sử dụng để kiểm soát và thực thi từ xa các chính sách trên thiết bị di động của nhân viên.

mdm.jpg

Khai thác dịch vụ MDM của Apple để điều khiển thiết bị từ xa

Để đăng ký một thiết bị iOS với MDM, người dùng phải cài đặt thủ công chứng thư phát triển doanh nghiệp. Chứng thư này được cấp bởi Apple Developer Enterprise Program. Các công ty có thể gửi tệp cấu hình MDM qua email hoặc trang web để đăng ký dịch vụ qua mạng thông qua sử dụng Apple Configurator.

Sau khi cài đặt, MDM cho phép quản trị viên của công ty điều khiển từ xa thiết bị, cài đặt/xóa ứng dụng, cài đặt/thu hồi chứng thư, khóa thiết bị, thay đổi yêu cầu mật khẩu...

Bởi mỗi bước trong quy trình đăng ký đều yêu cầu tương tác của người dùng nên chưa rõ cách thức mà hacker đã sử dụng để đăng ký cho 13 thiết bị iPhone bị nhắm tới.

Tuy nhiên, các chuyên gia Cisco – những người phát hiện ra chiến dịch, cho rằng hacker có thể đã sử dụng kỹ thuật social engineering như giả mạo cuộc gọi hỗ trợ kỹ thuật hoặc truy cập vật lý vào các thiết bị.

Theo dõi thông qua ứng dụng Telegram, WhatsApp đã bị chèn mã độc

Theo các nhà nghiên cứu, những kẻ đứng sau chiến dịch đã sử dụng MDM để cài đặt từ xa các ứng dụng đã bị chèn mã độc vào iPhone đích. Các mã độc này sẽ bí mật theo dõi người dùng và ăn cắp vị trí, danh bạ, ảnh, SMS và tin nhắn riêng tư từ các ứng dụng trò chuyện khác của người dùng.

Để chèn mã độc vào các ứng dụng như Telegram, WhatsApp, hacker sử dụng kỹ thuật “Boptions sideloading”, chèn một thư viện động vào các ứng dụng hợp pháp.

Vẫn chưa rõ danh tính kẻ đứng sau chiến dịch, những người dùng bị nhắm tới, cũng như động cơ đằng sau cuộc tấn công. Tuy nhiên, có bằng chứng cho thấy hacker đang hoạt động ở Ấn Độ.

Tới thời điểm hiện tại, Apple đã thu hồi 3 chứng thư liên quan đến chiến dịch này. Sau khi nhận được thông báo từ các chuyên gia, hãng cũng đã hủy hai chứng thư còn lại.

Theo The Hacker News
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bên trên