Theo Cnet, một công cụ hack cho phép chính phủ UAE theo dõi người dùng iPhone chỉ bằng một tin nhắn văn bản. Nó được gọi là Karma – một công cụ cho phép các điệp viên ăn cắp ảnh, tin nhắn, email và dữ liệu vị trí từ iPhone bằng cách tải lên (upload) tài khoản email hoặc số điện thoại của nạn nhân lên một hệ thống tự động.
Cuộc tấn công mạng đã hoạt động thông qua iMessage và các điệp viên chỉ cần gửi cho nạn nhân một tin nhắn văn bản; mục tiêu không cần phải nhấp vào bất cứ điều gì hoặc mở tin nhắn.
Chính phủ UAE đã mua công cụ này từ một quốc gia bên ngoài và các cuộc tấn công được thực hiện bởi các cựu tình báo Hoa Kỳ đang làm việc cho các nhà thầu của UAE, bao gồm các cựu thành viên của Cơ quan An ninh Quốc gia Hoa Kỳ. Các mục tiêu được báo cáo bao gồm các nhà hoạt động nhân quyền, các nhà chính trị đối lập và các nhà lãnh đạo của các quốc gia đối thủ.
Các điệp viên đã sử dụng Karma từ năm 2016 đến 2017, nhắm vào hàng trăm nạn nhân, cho đến khi một bản vá bảo mật từ Apple cản trở hiệu quả của công cụ này, theo Reuters.
Cả UAE và Apple đều từ chối bình luận các thông tin có liên quan.
Các quốc gia thường mua và sử dụng các công cụ hack để do thám. Đối với nhiều nhà hoạt động chính trị, việc giữ an toàn cho các thiết bị khỏi bị hack là một vấn đề sống còn.
Tháng 3 năm ngoái, các nhà nghiên cứu đã trình bày chi tiết về một chiến dịch hack toàn cầu mà họ cho biết có liên quan đến Tổng cục An ninh Lebanon. Nỗ lực này đã nhắm đến các nạn nhân bằng cách lừa họ tải xuống các ứng dụng bản sao chứa đầy phần mềm độc hại. Tuy nhiên, Tổng cục An ninh Lebanon cho biết tại thời điểm đó họ không có khả năng làm như vậy.
Các nhà nghiên cứu cũng phát hiện ra rằng vào năm 2016, công ty Israel, Tập đoàn NSO đã cung cấp phần mềm gián điệp cho các quốc gia để đánh cắp dữ liệu từ iPhone của các nhà hoạt động. Công ty đã nói rằng họ tuân thủ luật pháp hiện hành.
Chi phí cho các công cụ để hack có thể rất tốn kém. Các tài liệu bị rò rỉ cho thấy một quốc gia đã trả 32 triệu USD cho Tập đoàn NSO để mua phần mềm gián điệp có thể kiểm soát điện thoại và máy ảnh của thiết bị.
Trong các ví dụ trên, các vụ hack do nhà nước tài trợ yêu cầu các nạn nhân phải rơi vào bẫy, cho dù đó là nhấp vào liên kết hoặc tải xuống ứng dụng độc hại. Với Karma, tất cả các tin tặc cần làm là gửi tin nhắn văn bản nên điều này có thể giúp UAE mở rộng danh sách nạn nhân mà họ theo dõi.
Lỗi bảo mật trong các thiết bị của Apple là rất hiếm và kiến thức về chúng có thể có giá trị đến mức Apple sẵn sàng cung cấp tiền thưởng lên đến 200.000 USD. Tuy nhiên, các bên thứ 3 còn chi mạnh tay hơn với các khoảng thưởng có thể đến 500.000 USD.
Báo cáo về Karma được đưa ra khi Apple đang quay cuồng về một lỗ hổng bảo mật lớn của FaceTime. Lỗi này được phát hiện lần đầu tiên bởi 9to5Mac vào thứ Hai, cho phép người dùng FaceTime lắng nghe người nhận cuộc gọi ngay cả khi họ không chấp nhận cuộc gọi.
Apple cho biết họ đã phát hành một bản vá trong tuần này để khắc phục lỗ hổng Group FaceTime và rằng họ sẽ tạm vô hiệu hóa tính năng này cho đến lúc đó.