Thay vì bẻ khóa (jailbreak), công cụ do hacker giả mạo chứa sẵn phần mềm độc hại để cài cắm vào iPhone cho mục đích gian lận quảng cáo.
Theo phát hiện của hãng bảo mật Cisco Talos (Mỹ), hacker đầu tiên sẽ tạo một website giả mạo có tên checkra1n, với nội dung chứa công cụ bẻ khóa iPhone dựa trên lỗ hổng bảo mật Checkm8 (chiếu tướng). Để tăng độ tin cậy và tỏ ra hợp pháp, website này còn tuyên bố đang hợp tác với các nhà nghiên cứu bẻ khóa iOS nổi tiếng như “CoolStar” hay Ian Beer (chuyên gia trong nhóm Google Project Zero).
Nắm được tâm lý này, checkra1n đã tung công cụ giả mạo của mình lên website. Sau khi tải về và khởi chạy, giao diện hiển thị đang xử lý bẻ khóa iPhone. Thực tế giao diện này đơn giản chỉ là một ứng dụng chạy đoạn video xử lý ở chế độ toàn màn hình dựa trên chức năng Apple Web Clip dành cho nhà phát triển, không có chức năng jailbreak iPhone như quảng cáo.Checkm8 phát hiện bởi chuyên gia bảo mật có nickname axi0mX, được đánh giá là nghiêm trọng, tác động đến thành phần bootroom (SecureROM – bộ nhớ chỉ đọc), không thể vá qua bản cập nhật phần mềm hay firmware. Công cụ jailbreak có thể thông qua lỗ hổng này để bẻ khóa thiết bị iPhone dùng chip A5 đến A11, tương ứng với các dòng iPhone từ 4S đến X. Tuy nhiên, rất ít phần mềm jailbreak lợi dụng lỗ hổng này thành công.
Trên website, checkra1n còn cho biết việc sử dụng công cụ của mình không cần dùng đến máy tính. Nhưng thực tế, việc khai thác lỗ hổng Checkm8 buộc phải thông qua công đoạn này, bằng cách kết nối thiết bị iOS với PC bằng cáp USB.
Trong khi “che mắt” người dùng, phần mềm sẽ ngầm cài mã độc gian lận click chuột (Click Fraud), cho phép nhấn liên tục vào một hay nhiều quảng cáo (banner, logo, link…) mà không có sự đồng ý của người dùng.
Không những thế, việc cài đặt công cụ bẻ khóa giả mạo này đồng nghĩa với việc người dùng tự tay cung cấp cho hacker nhiều thông tin cài đặt thiết bị, chẳng hạn Wi-Fi, email, VPN… Thậm chí, hacker có thể lợi dụng để leo thang nhằm chiếm quyền kiểm soát thiết bị bằng cách gửi thông tin điện thoại đến nền tảng quản lý thiết bị di động (MDM).
Theo Cisco Talos, website checkra1n giả mạo được truy cập phần lớn từ Mỹ, sau đó đến Anh, Pháp, Nigeria, Irag, Venezuela, Ai Cập, Gruzia, Australia, Canada, Thổ Nhĩ Kỳ, Hà Lan, Italy và cả Việt Nam. Hiện trang này đã bị Google đánh dấu là có hại.
“Trước mắt, hacker chỉ chèn phần mềm quảng cáo vào checkra1n, nhưng không loại trừ khả năng sẽ có những mã độc nguy hiểm hơn được chèn vào trong tương lai. Do đó, người dùng iPhone không nên tải ứng dụng để tránh các trường hợp xấu có thể xảy ra”, chuyên gia của Cisco Talos khuyến cáo.