Lỗ Hổng Không Nằm Ở Mã Hóa – Mà Nằm Ở Chính Điện Thoại Của Bạn

Khi bí mật riêng tư bị đe dọa: Trojan Sturnus và khả năng đọc lén tin nhắn mã hóa trên Android. Không ai muốn bí mật của mình bị rò rỉ — từ Bộ Quốc phòng, các tập đoàn trong nhóm FTSE 100, cho đến những người dùng VPN bình thường. Và một trong những “kho chứa bí mật” lớn nhất chính là những tin nhắn đã được mã hóa trên các ứng dụng như Signal, Telegram hay WhatsApp. Nhưng điều gì sẽ xảy ra nếu tôi nói rằng các nhà nghiên cứu an ninh mạng vừa phát hiện một mối đe dọa mới đang nhắm thẳng vào người dùng Android — một loại trojan có khả năng vượt qua lớp mã hóa bảo vệ, và đọc toàn bộ tin nhắn của bạn? Đó chính là Sturnus, một trojan cực kỳ tinh vi và nguy hiểm.

Hacker có thể đọc được tin nhắn “riêng tư” của bạn như thế nào? Theo ThreatFabric – đơn vị chuyên nghiên cứu mối đe dọa an ninh – Sturnus là một loại banking trojan đang trong giai đoạn phát triển và thử nghiệm hạn chế. Nhưng ngay cả vậy, nó đã sở hữu khả năng vượt xa sự nguy hiểm của phần lớn mã độc trước đây. Trojan này không chỉ có thể: chiếm toàn quyền điều khiển thiết bị, đánh cắp thông tin ngân hàng, thu thập dữ liệu đăng nhập, mà còn vượt qua cơ chế bảo mật mã hóa của các ứng dụng nhắn tin, bằng cách đọc trực tiếp nội dung sau khi chúng đã được giải mã và hiển thị trên màn hình người dùng. Mã hóa Signal hay WhatsApp không bị phá vỡ. Thuật toán không bị bẻ khóa. Điều Sturnus làm là tấn công vào điểm yếu thực tế nhất: chính thiết bị của bạn. Khi tin nhắn được hiển thị trên màn hình, mã độc chỉ việc “đọc” lại chúng, giống như việc bạn chụp hình màn hình bằng máy ảnh bên ngoài. Một bài học cũ nhưng vẫn còn nguyên giá trị: Mọi mã hóa đều vô nghĩa nếu thiết bị đã bị xâm nhập. Sturnus lan truyền qua đâu? Một nút bấm có thể khiến bạn mất tất cả. Các nhà nghiên cứu cảnh báo: Không cài ứng dụng từ nguồn không tin cậy, đặc biệt là các bản cập nhật Chrome giả mạo — đây là một trong những phương thức phát tán Sturnus. Nhiều người tin rằng Android sẽ cảnh báo họ khi có ứng dụng độc hại, nhưng hacker ngày càng tinh vi: giao diện, icon, tên ứng dụng đều được làm giả giống như thật.

Chuyên gia bảo mật cảnh báo: Đây là mối nguy với mọi tổ chức, không chỉ người dùng cá nhân. Ông Aditya Sood, Phó Chủ tịch kỹ thuật bảo mật của Aryaka, nhận định Sturnus là mối đe dọa “khác hẳn” so với những trojan Android khác, bởi nó sử dụng kết hợp: plaintext (dữ liệu thô), RSA (mã hóa khóa công khai), AES (mã hóa chuẩn quốc gia Hoa Kỳ), để giao tiếp với máy chủ điều khiển (C2 server). Sự pha trộn này giúp Sturnus: ngụy trang giống như lưu lượng mạng bình thường, ẩn lệnh điều khiển và dữ liệu đánh cắp, vượt qua hệ thống phát hiện dựa trên chữ ký, gây khó khăn khi phân tích ngược mã độc, Điều đáng sợ nhất là nó khiến việc giám sát hay chặn lưu lượng của Sturnus gần như bất khả thi. Ông Sood nhấn mạnh: “Khi ứng dụng mã hóa đầu cuối như Signal bị đọc lén trên thiết bị, hậu quả đối với các tổ chức là vô cùng nghiêm trọng.” Sturnus có thể đọc mọi thứ xuất hiện trên màn hình. Điểm đáng lo ngại nhất của trojan này là nó không cần tấn công vào mạng hay mã hóa. Theo báo cáo: “Dựa vào Accessibility Service, mã độc có thể đọc toàn bộ nội dung hiển thị trên màn hình — danh bạ, tin nhắn đến, tin nhắn đi và toàn bộ cuộc trò chuyện — theo thời gian thực.” Một khi thiết bị bị xâm nhập: mọi lớp mã hóa trở nên vô dụng, mọi dữ liệu nhạy cảm đều lộ diện, mọi thao tác của người dùng đều bị theo dõi, Như các nhà nghiên cứu kết luận: “Từ khoảnh khắc thiết bị bị xâm nhập, không còn bất kỳ cơ chế bảo vệ mã hóa nào có thể cứu bạn.”

Cách bảo vệ bản thân trước Sturnus. Để tránh trở thành nạn nhân, bạn cần: Luôn bật Google Play Protect. Không bao giờ tải app ngoài Play Store. Không cấp quyền Accessibility cho bất kỳ ứng dụng nào trừ khi bạn thực sự hiểu rõ lý do. Cẩn trọng với các ứng dụng mang tên Chrome Update, System Update… giả mạo. Ở thời điểm hiện tại, cách phòng ngừa duy nhất chính là bảo vệ thiết bị khỏi bị nhiễm mã độc ngay từ đầu. Bởi một khi hacker đã vào được điện thoại của bạn, không có mã hóa nào có thể cứu bạn nữa.