Hack điện thoại chỉ bằng cú chạm tay

Wahle hiện là kỹ sư tại một công ty có tên gọi APA Wireless và là một tin tặc sinh học (biohacker) – từ dùng để gọi những người thích đùa với giới hạn của cơ thể.

Giờ đây, Wahle đang sử dụng vi mạch điện tử này để giúp chúng ta được chứng kiến tận mắt những lỗ hổng của an toàn thông tin trong tương lai.

Họ làm điều này không nhằm mục đích xấu, mà để chứng minh là những điện thoại và máy tính của chúng ta có thể bị đột nhập bằng những cách thức ta không hề hay biết.

Mọi chuyện bắt đầu từ cuộc chuyện trò tại quán pizza với Soto, một nhà nghiên cứu an ninh và nhà tổ chức sự kiện có tên gọi Hackmiami ở Florida.

“Seth khi đó đang ngồi ăn pizza,” Soto nói.

“Và tôi nói với ông ta, ‘này, anh nhìn giống một người thích máy tính,’ rồi tôi nhận ra ông ta có một vi mạch cấy trong tay!”

Vi mạch của Wahle là vi mạch RFID, một loại thiết bị tí hon có khả năng lưu trữ một lượng nhỏ dữ liệu và có thể liên lạc với các thiết bị xung quanh.

Soto, người nghiên cứu về khả năng đột nhập, cả đối với thiết bị điện tử lẫn phần mềm, tỏ ra thích thú.

Ông đề nghị Wahle thuyết trình tại sự kiện Hackmiami vào năm 2014.

Cuối cùng, Wahle đã thuyết trình về ý tưởng sử dụng vi mạch của mình làm cơ chế an toàn cho súng – khiến khẩu súng chỉ hoạt động khi nằm trong tay ông.

“Sau buổi thuyết trình, chúng tôi đã cùng nhau động não và tự hỏi điều gì sẽ xảy ra nếu vi mạch này được dùng vào việc khác,” Wahle nói.

Hai người quyết định thử nghiệm xem có thể cài mã độc vào điện thoại của người khác chỉ bằng một cú chạm tay hay không.

Cả hai đã tốn hai tháng để thiết kế mọi thứ và thiết bị này hoạt động ngay trong lần thử đầu tiên.

“Thường thì những thứ này không phải khi nào cũng hoạt động tốt trong lần thử đầu tiên,” Wahle nói với BBC.

Quy trình hack diễn ra như sau: Vi mạch RFID của Wahle bao gồm ăng-ten NFC ( công nghệ kết nối thông tin tầm ngắn), có khả năng liên lạc với các thiết bị có chức năng NFC khác.

Khi ông cầm một chiếc điện thoại trên tay, vi mạch này gửi tín hiệu đến chiếc điện thoại đó.

Một thông báo sau đó hiện ra trên điện thoại và yêu cầu người sử dụng mở một đường link.

Nếu người sử dụng mở ra, đường link này sẽ cài một mã bẩn vào điện thoại, khiến chiếc điện thoại bị nối với một máy chủ từ xa do người khác điều khiển.

“Khi nhận được tín hiệu, chiếc điện thoại đó coi như thuộc về tôi,” Soto nói.

Chỉ trong vài phút, Soto đã có thể dùng máy tính để tải một tệp dữ liệu từ chiếc điện thoại trong tay Wahle.

Trong thí nghiệm này, đường link chứa mã độc không được ngụy trang tốt và có thể khiến người dùng nghi ngờ.

Tuy nhiên, Wahle and Soto nói chỉ cần một chút điều chỉnh, thông báo báo mở đường link trông sẽ giống hệt như bất cứ thông báo nào khác từ hệ thống, như yêu cầu nâng cấp hệ điều hành, hay thông báo từ game Candy Crush.

Cộng đồng tin tặc sinh học và cộng đồng tin tặc máy tính, phần mềm sớm muộn gì rồi cũng sẽ hợp tác với nhau.

Nhưng tại Miami, Soto và Wahle nói mối quan hệ này vẫn còn mới.

Tại Hackmiami 2015, chỉ có một vài tin tặc sinh học nằm trong số hàng trăm chuyên gia phần mềm và máy tính.

“Đó rõ ràng là hai thế giới khác nhau,” ông Wahle nói.

Theo kinh nghiệm của ông, hai thế giới này khác nhau về cả văn hóa lẫn ý tưởng.

“Các tin tặc sinh học mang lại những sáng kiến quái gở và nói thật là họ ít khi hoàn thiện được gì, vì phần lớn trong số họ không đủ hiểu biết về mặt kỹ thuật để làm điều đó, và phần lớn các ý kiến của họ thường quá nguy hiểm”.

“Cộng đồng tin tặc truyền thống thường bao gồm rất nhiều người giỏi và nói thật đó là một trong những người thông minh nhất mà tôi từng gặp và họ có thể làm được những điều điên rồ nhưng kỳ diệu.”

Thử nghiệm của Wahle và Soto có lẽ là khởi đầu của việc hack bằng vi mạch cấy ghép trong cơ thể.

Điện thoại không chỉ là thứ duy nhất sử dụng công nghệ NFC để liên lạc với nhau.

Công nghệ này là trọng tâm của hệ thống trả tiền bằng thẻ tín dụng và bằng điện thoại di động như Apple Pay và Google Wallet, khóa từ hoặc thậm chí các thiết bị y tế.

Để hack bằng vi mạch NFC, tin tặc chỉ cần ở gần thiết bị điện tử, túi tiền, cửa hoặc thiết bị đo huyết áp mà họ định hack.

Vào thời điểm này thì bạn sẽ hiếm có khả năng gặp ai đó có cấy vi mạch RFID trong tay.

Việc cấy các thiết bị vào cơ thể không phải là điều dành cho những người nhát gan, và những tin tặc sinh học cũng không phải dễ tìm.

Wahle nói ông đã bỏ ra rất nhiều thời gian nghiên cứu các loại RFID khác nhau để thí nghiệm và để đảm bảo rằng ông không dùng các loại vi mạch có than chì hoặc các hóa chất khác.

Sau đó, ông thuê một nghệ sỹ xăm hình cấy vi mạch nào vào tay mình, giữa ngón tay cái và ngón trỏ.

“Quy trình này rất đau đớn. Nhưng cơn đau này biến mất ngay sau khi kim được rút ra.”

Thí nghiệm của Soto và Wahle không vi phạm pháp luật.

Họ đã sử dụng điện thoại của Wahle và cả hai đều biết rõ điều gì sẽ xảy ra.

Tuy nhiên việc hack điện thoại của một người khác mà họ không hề hay biết sẽ khiến mọi thứ trở nên phức tạp hơn, Andrea Matwyshyn, giáo sư đồng thời là học giả chuyên về pháp lý tại Trung tâm Nghiên cứu Chính sách Công nghệ Thông tin ở Princeton, nói.

Tại Hoa Kỳ, bà giải thích, Đạo luật Lừa đảo và Lạm dụng Máy tính quy định bất cứ ai đột nhập một hệ thống mà không có sự đồng ý của chủ nhân sẽ bị quy là phạm pháp.

Mục đích của Soto và Wahle không phải là đánh cắp ảnh chụp cá nhân từ điện thoại của người khác, mà là chỉ ra những điểm yếu trong các thiết bị mà chúng ta sử dụng hàng ngày.

“Tôi không muốn khoe khoang rằng mình có thể cấy vi mạch NFC vào tay và đột nhập một chiếc điện thoại Android,” Wahle, người hiện cũng đang làm việc cho một công ty an ninh thông tin mới thành lập có tên là Caveo Security, nói.

“Thông điệp của tôi, đó là tôi có thể làm điều này với một công nghệ, và trong lúc công nghệ phát triển, điều này có thể được áp dụng cho tất cả mọi thứ. Chúng tôi hack một thiết bị để chỉ cho người khác thấy rằng nó có thể bị hack”.