Bộ công cụ Mobile Verification Toolkit (MVT) được phát triển bởi Amnesty International đã làm dấy lên nhiều cuộc thảo luận quan trọng về sự đánh đổi cố hữu giữa bảo mật thiết bị và khả năng truy cập điều tra số trong các hệ điều hành di động hiện đại. Mặc dù MVT cung cấp những công cụ có giá trị để phát hiện phần mềm gián điệp tinh vi như Pegasus, các cuộc thảo luận trong cộng đồng đã tiết lộ những lo ngại sâu sắc hơn về những hạn chế cơ bản của điều tra số trên thiết bị di động, đặc biệt là trên các thiết bị iOS.
Những Điểm Chính Về Mobile Verification Toolkit (MVT)
- Nhà phát triển: Amnesty International Security Lab
- Phát hành: Tháng 7 năm 2021 như một phần của Dự án Pegasus
- Mục đích: Hỗ trợ phân tích pháp y có sự đồng thuận đối với các thiết bị di động có khả năng bị xâm phạm
- Nền tảng: Hỗ trợ cả thiết bị Android và iOS
- Lệnh: Cung cấp các lệnh
mvt-iosvàmvt-android - Hạn chế: Phụ thuộc vào các chỉ số xâm phạm công khai có thể bỏ sót các dấu vết pháp y gần đây
Thách Thức Pháp Y Trên iOS
- Xác minh tính toàn vẹn hệ thống kể từ iOS 15 thông qua Signed System Volume (SSV)
- Không có quyền truy cập vào bản sao đĩa thô không bị biên tập
- Không thể khôi phục hoàn toàn sau khi bị xâm nhập
- Phần mềm độc hại không lưu trữ có thể bị xóa khi khởi động lại thiết bị
- Khả năng sao lưu hạn chế đối với dữ liệu nhạy cảm về bảo mật
Thách Thức Pháp Y Trên Android
- Hỗ trợ sao lưu không nhất quán giữa các ứng dụng
- Quyền root thường yêu cầu xóa thiết bị trước
- SafetyNet/Play Integrity có thể chặn các thiết bị đã bị sửa đổi
- Nhiều ứng dụng từ chối hoạt động trên thiết bị đã root
 |
|---|
| Hình ảnh này đại diện cho Mobile Verification Toolkit (MVT), một công cụ quan trọng trong cuộc thảo luận về điều tra số di động và các thách thức bảo mật |
Thách thức điều tra số của bảo mật iOS
Cách tiếp cận bảo mật của Apple đối với iOS tạo ra một thách thức đáng kể cho việc phân tích điều tra số. Không giống như môi trường máy tính truyền thống, các thiết bị iOS không cho phép chủ sở hữu hoặc thậm chí các nhà nghiên cứu bảo mật truy cập vào hình ảnh đĩa thô không được biên tập. Hạn chế này, mặc dù gây khó khăn cho các điều tra viên số, nhưng lại đóng vai trò là một tính năng bảo mật quan trọng bảo vệ người dùng khi thiết bị bị mất, bị đánh cắp hoặc bị tịch thu.
Thực tế là việc trích xuất dữ liệu từ iPhone rất khó khăn chính là biện pháp bảo vệ chính chống lại các mối đe dọa khi điện thoại của bạn bị đánh cắp hoặc bị lấy đi (bởi một tổ chức hoặc cá nhân có vẻ hợp pháp). Nhìn chung, đây là một điều khá tốt.
Tuy nhiên, chính cơ chế bảo vệ này lại hạn chế nghiêm trọng khả năng tiến hành điều tra phần mềm độc hại một cách kỹ lưỡng hoặc khôi phục thiết bị hoàn toàn sau khi bị xâm nhập. Các chuyên gia bảo mật lưu ý rằng việc khôi phục thiết bị sau khi bị xâm nhập trên iOS về cơ bản là không thể thực hiện được theo nghĩa điều tra số truyền thống. Người dùng chỉ có thể cài đặt phiên bản hệ điều hành mới và khôi phục một phần dữ liệu ban đầu của họ, buộc mọi ứng dụng và dịch vụ phải thiết lập lại sự tin cậy với cái mà về cơ bản là một thiết bị mới.
Xác minh tính toàn vẹn hệ thống và các mối đe dọa dai dẳng
Các triển khai iOS hiện đại (đặc biệt là từ iOS 15) đã cải thiện đáng kể việc xác minh tính toàn vẹn hệ thống thông qua các tính năng như Signed System Volume (SSV), hoạt động tương tự như dm-verity trên các nền tảng khác. Cách tiếp cận này đặt hệ điều hành trên một bản snapshot khối lượng APFS riêng biệt được xác minh bằng cách sử dụng cây băm, khiến việc triển khai phần mềm độc hại dai dẳng ngày càng khó khăn.
Những tiến bộ này đã khiến phần mềm độc hại iOS thực sự dai dẳng trở nên tương đối hiếm, vì ngay cả những cuộc tấn công tinh vi như Operation Triangulation cũng không thể đạt được tính bền vững sau khi khởi động lại cho các phần cài đặt của chúng. Tuy nhiên, cộng đồng chỉ ra rằng phần mềm độc hại không dai dẳng vẫn là một mối đe dọa đáng kể, với nhiều người dùng hiếm khi khởi động lại thiết bị của họ. Ngoài ra, các lỗ hổng zero-day nhắm vào dữ liệu người dùng dai dẳng vẫn có thể bị khai thác lại sau khi khởi động lại.
Thách thức khác nhưng tương tự của Android
Cuộc thảo luận cho thấy Android phải đối mặt với những thách thức tương đương, mặc dù có những sự đánh đổi khác nhau. Trong khi Android có khả năng cung cấp nhiều tùy chọn hơn cho việc phân tích điều tra số thông qua các ROM tùy chỉnh và quyền truy cập root, những cách tiếp cận này thường yêu cầu xóa thiết bị trước—khiến chúng trở nên vô dụng cho việc điều tra số thực tế trên các thiết bị bị xâm phạm.
Khả năng sao lưu của Android cũng đáng chú ý là không nhất quán so với iOS. Trong khi các bản sao lưu iOS thường ghi lại mọi thứ ngoại trừ dữ liệu Secure Enclave (như thẻ tín dụng và khóa eSIM), hỗ trợ sao lưu của Android là tùy chọn cho các ứng dụng, với nhiều ứng dụng—đặc biệt là trò chơi—không cung cấp khả năng sao lưu nào.
Tranh cãi về xác thực từ xa
Có lẽ khía cạnh gây tranh cãi nhất của cuộc thảo luận tập trung vào xác thực từ xa như một giải pháp tiềm năng để xác minh tính toàn vẹn của thiết bị. Một số người cho rằng Apple có thể cung cấp bảo mật tốt hơn thông qua xác thực từ xa tùy chọn để xác minh tính toàn vẹn của hệ điều hành và baseband. Tuy nhiên, cách tiếp cận này làm dấy lên những lo ngại nghiêm trọng về tự do trong điện toán.
Công nghệ xác thực từ xa, đã được triển khai bởi Google (SafetyNet/Play Integrity) và Apple dưới nhiều hình thức khác nhau, cho phép các dịch vụ xác minh trạng thái phần mềm của thiết bị trước khi cung cấp quyền truy cập. Mặc dù điều này có thể bảo vệ chống lại các thiết bị bị xâm phạm, nhưng nó cũng cho phép phân biệt đối xử đối với các thiết bị đã được sửa đổi hoặc tự do dưới sự kiểm soát của người dùng thay vì sự giám sát của doanh nghiệp.
Cộng đồng dường như bị chia rẽ sâu sắc về vấn đề này, với một số người coi xác thực từ xa là một sự phát triển không thể tránh khỏi nhưng đáng lo ngại đe dọa đến tự do điện toán, trong khi những người khác tin rằng các mô hình xác thực chi tiết hơn và do người dùng kiểm soát có thể cung cấp một con đường trung gian.
Khi các mối đe dọa di động tiếp tục phát triển, căng thẳng giữa bảo mật, quyền riêng tư và kiểm soát vẫn là trọng tâm của điều tra số di động. Các công cụ như MVT cung cấp khả năng có giá trị cho việc phân tích điều tra số có sự đồng ý, nhưng những hạn chế cơ bản của các hệ điều hành di động đảm bảo rằng bảo mật thiết bị toàn diện sẽ tiếp tục liên quan đến những sự đánh đổi khó khăn giữa bảo vệ và khả năng truy cập.
Tham khảo: Mobile Verification Toolkit (MVT)