Sự thật về tính bảo mật của iPhone
08:19 | 03/11/2015 | LỖ HỔNG ATTT
Nếu được thiết lập cấu hình chuẩn xác, một thiết bị cài đặt iOS có lẽ là thiết bị giao tiếp đa năng an toàn nhất trên thị trường. Ví dụ: iPod Touch có thể là thiết bị trao đổi thích hợp cho những người cần làm việc trong một môi trường kiểm soát chặt chẽ như Trung Quốc hay Pháp, và với hầu hết mọi người thì iOS được coi là an toàn hơn hẳn so với Android.
Tuy nhiên, tốt nhất không đồng nghĩa với tuyệt đối an toàn. Trong khi Cục điều tra Liên bang Mỹ - FBI cho rằng, iPhone là những “cục gạch” không có chút thông tin hữu ích nào (có thể khai thác), Apple cho rằng iMessage được bảo mật "end-to-end". Trên thực tế, cả hai điều đó đều không đúng. Một chiếc iPhone không phải là một cục gạch mà là một kho thông tin lớn, còn iMessage có rất nhiều siêu dữ liệu và dường như được thiết kế để hỗ trợ cổng hậu.
Trước hết, iPhone không phải là một cục gạch vì bản thân nó là một chiếc điện thoại. Số IMEI đằng sau chiếc điện thoại là dữ liệu đủ để FBI tìm ra nhà cung cấp dịch vụ và với một tờ lệnh của tòa án, họ có thể lấy được vô số thông tin. Các điện thoại thông minh liên tục kết nối với mạng di động và trợ lý ảo Siri luôn dùng kết nối của mạng ngay cả khi có sóng WiFi. Điều đó cho phép FBI xác định lịch sử di chuyển của iPhone khi nó đang bật.
Ít nhất thì các công ty viễn thông cũng có thể xác định vị trí của chiếc điện thoại trong khoảng vài ki-lô-mét vuông. Một số nhà mạng thậm chí còn có thể làm tốt hơn: AT&T ghi nhận vị trí của các cuộc gọi TRACPhone với sai số 200m. Vì thế, trừ khi kẻ tình nghi hiểu rõ nguy cơ bị theo dõi qua điện thoại di động và vứt nó ở một nơi khác, thì sự tồn tại của một chiếc iPhone thực sự là một “món quà” đối với cơ quan điều tra.
Vậy còn những thông tin lưu trong điện thoại thì sao? Chẳng hạn như ảnh tự chụp của một tên khủng bố với cờ ISIS? Trừ khi kẻ đó biết thiết lập cấu hình chuẩn xác, việc bắt giữ một kẻ sở hữu iPhone khá đơn giản.
Nếu được thiết lập cấu hình một cách an toàn và đã được tắt, chiếc iPhone có thể được trao cho DGSE (Cơ quan Tổng quản lý An ninh Ngoại quốc của Pháp), NSA, hay cơ quan an ninh của Trung Quốc mà chủ của nó không phải lo lắng gì. Nhưng hầu hết người dùng không biết thiết lập cấu hình thế nào cho an toàn, họ thường dùng passcode với 4 chữ số (nên dễ thử tất cả các trường hợp) hay dùng dấu vân tay (nhân viên an ninh sẽ mất chưa tới 1 ngày để buộc chủ của chiếc iPhone mở khóa).
Hơn thế, phần lớn iPhone đều bật tính năng sao lưu dữ liệu lên iCloud theo mặc định. Cảnh sát chỉ cần một “lệnh” từ tòa án là có thể buộc hãng Apple cung cấp dữ liệu sao lưu của một người dùng cụ thể, trong đó bao gồm tất cả các hình ảnh và các thông điệp iMessage từng bị xóa! Thông tin duy nhất không có trong bản sao lưu là các mạng WiFi đã dùng và thư điện tử của người bị tình nghi, nhưng cảnh sát cũng có thể lấy được thư điện tử với một tờ lệnh khác từ tòa án.
Cuối cùng là iMessage, với tính năng mã hóa "end-to-end". Trái ngược với những phàn nàn của FBI, iMessage có những điểm yếu đáng kể và rất đáng lo ngại với người dùng. Tính năng mã hóa của iMessage không đụng đến chút siêu dữ liệu (metadata) nào vì "Metadata is the Message". Do đó, với lệnh của toà án, FBI có thể buộc Apple cung cấp tất cả thông tin về các thông điệp gửi/nhận (trừ nội dung thông điệp): thời điểm, địa chỉ IP, người nhận, sự có mặt và kích cỡ của các tệp đính kèm. Apple không thể giấu siêu dữ liệu vì Apple cần dùng chúng để truyền nhận các thông điệp.
Tính năng mã hóa của iMessage chỉ che giấu nội dung các thông điệp nhưng FBI lại phàn nàn rằng điều đó cản trở việc điều tra của họ. Điều này khá kỳ lạ vì chẳng ai lại yêu cầu công ty bưu chính mở phong bì, chụp lại nội dung tất cả các bức thư để sẵn sàng phục vụ mỗi khi FBI cần kiểm tra một bức thư (dù công ty bưu chính vẫn ghi lại những gì ghi bên ngoài phong bì của mỗi bức thư). Và nếu kẻ tình nghi không tắt tính năng sao lưu dữ liệu lên iCloud, các thông điệp cũ cũng sẽ được lưu lên đó.
Không chỉ dừng ở đó, còn có một lỗi nghiêm trọng trong iMessage cho phép Apple hỗ trợ việc “nghe lén” iMessage. Khi Alice muốn gửi một thông điệp tới Bob, iPhone của Alice sẽ kết nối tới máy chủ của Apple – nơi chứa khóa công khai của tất cả những người dùng iOS – và hỏi "Tôi là Alice, làm ơn cho tôi biết tất cả các khóa công khai của tôi" và "Tôi là Alice, làm ơn cho tôi biết tất cả các khóa công khai của Bob". Sau đó điện thoại của Alice mã hóa thông điệp với tất cả các khóa công khai rồi gửi tới Apple để họ chuyển tiếp tới tất cả mọi thiết bị. Vì chỉ có thiết bị biết được khóa bí mật tương ứng chứ không phải appleID nên Apple nhận đó là phương thức bảo mật "end-to-end".
Sở dĩ Alice hỏi cả khóa công khai của Alice và của Bob là để cho phép Alice có thể sở hữu nhiều thiết bị. Với iMessage, mỗi thiết bị có một khóa riêng, nhưng vẫn phải đảm bảo thông điệp gửi đi hiển thị trên tất cả các thiết bị của Alice. Việc thiết bị của Alice yêu cầu nhận khóa công khai của chính cô là cách cho phép điện thoại của Alice phát hiện khi có một thiết bị mới được liên kết với (tài khoản của) cô ta, từ đó cho phép Alice kiểm tra xem các khóa công khai có chính xác không, đồng thời chắc chắn rằng không có ai bí mật bổ sung một thiết bị mới vào hệ thống để “nghe lén” các thông điệp.
Tuy nhiên, vẫn còn một lỗ hổng nghiêm trọng: không có giao diện người dùng nào cho phép Alice khám phá (và nhờ đó xác nhận một cách độc lập) các khóa công khai của Bob. Không có tính năng này, Alice không có cách gì phát hiện việc máy chủ quản lý khóa của Apple gửi cho cô một tập khóa khác tập khóa của Bob. Và như thế, iMessage đã cho phép cài cổng hậu ngay từ trong thiết kế: bản thân máy chủ quản lý khóa cung cấp cổng hậu.
Để nghe lén Alice, chỉ cần chỉnh sửa ứng dụng của máy chủ quản lý khóa để cung cấp một khóa “của FBI dành cho Alice” cho tất cả mọi người, trừ bản thân Alice. Khi đó, FBI (chứ không phải Apple) có thể giải mã mọi thông điệp iMessage gửi tới Alice trong tương lai. Tương tự như thế, thêm một khóa của FBI vào phản hồi các yêu cầu mà Alice gửi để lấy khóa của những người khác sẽ cho phép “nghe lén” các thông điệp do Alice gửi đi. Những lỗ hổng tương tự trong kiến trúc cho phép nghe lén các cuộc gọi FaceTime vốn được coi là bảo mật “end-to-end”.
Điều đó có thể là lý do khiến Apple trở thành tâm điểm trong sự tức giận của FBI: kiến trúc của iMessage cho phép Apple hỗ trợ việc nghe lén nhưng Apple vẫn từ chối hỗ trợ FBI. Apple không cần phải tạo ra cổng hậu cho hệ thống iMessage, họ chỉ cần “bật” hoặc công khai đóng cổng hậu đang tồn tại trong hệ thống phân phối khóa! Nếu chúng ta tin vào những phát biểu công khai của Apple thì họ đã lựa chọn không làm cả hai động tác trên. Hoặc cũng có thể chúng ta đang xem một vở kịch do Apple và FBI cùng diễn rất khéo: Apple không muốn thừa nhận là họ đã giúp FBI hay NSA “nghe lén” iMessage nên muốn các cơ quan an ninh Mỹ tung hỏa mù rằng iMessage quả thực là một hệ thống bảo mật "end-to-end" (để các cơ quan an ninh khác không thể buộc họ đưa ra yêu cầu nghe lén tương tự).
