Hồi tháng 8, Apple đã kiện Corellium vì tội vi phạm bản quyền, cáo buộc rằng phần mềm giả lập iPhone của công ty khởi nghiệp này là bất hợp pháp. Apple cho rằng các phần mềm giả lập iPhone đã giúp các chuyên gia công nghệ bán các công cụ hack, dựa trên lỗi phần mềm được tìm thấy trên hệ điều hành iOS cho các cơ quan chính phủ, những người muốn nhắm mục tiêu vào một số chiếc iPhone cụ thể.
Cộng đồng an ninh mạng thì cho rằng Apple đang cố sử dụng vấn đề bản quyền để kiểm soát thị trường bảo mật, cũng như tìm cách hợp pháp hóa các lỗ hổng phần mềm trên thiết bị của mình. Vụ kiện đã được đệ trình chỉ vài ngày sau khi Apple tuyên bố sẽ cung cấp cho các nhà nghiên cứu các thiết bị đặc biệt, đã được hack để họ tìm và báo cáo lỗi về cho công ty.
"Thông qua chương trình thiết bị nghiên cứu chỉ dành cho người được mời và vụ kiện này, Apple đang cố gắng kiểm soát xem ai được phép xác định các lỗ hổng trên thiết bị. Nhưng nếu Apple phát hiện và biết cách giải quyết các lỗ hổng, công ty liệu có công bố chúng ra công chúng hay không?", Corellium phản biện. Đây cũng được coi là tiếng nói chung của cộng đồng nghiên cứu bảo mật.
Theo Corellium, về cơ bản việc sử dụng các đoạn code của Apple trong sản phẩm của công ty mình là hợp lý. Đại diện Corellium cũng cho rằng họ làm cho thế giới trở nên tốt đẹp hơn, bằng cách giúp các nhà nghiên cứu bảo mật kiểm tra hệ điều hành của iPhone, tìm ra lỗ hổng trong đó và giúp Apple khắc phục chúng. Nhờ Corellium, các nhà nghiên cứu có thể dễ dàng tìm thấy lỗi hơn bằng cách tạo các phiên bản ảo của iOS và kiểm tra chúng nhanh hơn, trái ngược với việc phải sử dụng các thiết bị vật lý thực tế. Corellium đã cố gắng minh họa điều này bằng cách đưa ra hình ảnh minh họa theo kiểu "trước" và "sau" để chứng minh cảm giác của các nhà nghiên cứu khi cố gắng hack iPhone.
Ảnh minh họa trong phản hồi của Corellium.
Theo một báo cáo từ Motherboard hồi đầu năm, các nhân viên của Corellium đã mua được những chiếc iPhone đặc biệt từ thị trường chợ đen. Đây là những chiếc iPhone nguyên mẫu (dev-fuse), chứa phần mềm đặc biệt mà nhân viên Apple và công nhân các nhà máy lắp ráp sử dụng để thử nghiệm. Phần mềm này có ít hạn chế bảo mật hơn, cho phép các nhà nghiên cứu truy cập tốt hơn vào các phần của hệ điều hành và các đoạn mã của điện thoại.
Hồi tuần trước, Apple đã gây áp lực khiến eBay loại bỏ một danh sách cung cấp iPhone nguyên mẫu, được người dùng bán với giá 10.000 USD.
Lập luận chính của Corellium nằm ở việc giả định rằng khách hàng của Corellium đang tìm kiếm lỗi với ý định cảnh báo cho Apple về sự tồn tại của chúng. Tuy nhiên, bây giờ đó chỉ là một giả định.
Tên khách hàng duy nhất của Corellium trong phản hồi của công ty này là Azimuth Security, được mua lại bởi một nhà thầu quốc phòng năm ngoái. Theo báo cáo, Azimuth là một trong những công ty tốt nhất trên thế giới trong việc tìm kiếm các lỗi trên iOS và phát triển các ứng dụng khai thác, tận dụng các lỗi đó. Và Azimuth không báo cáo những lỗi đó cho Apple. Thay vào đó, công ty này bán các công cụ hack dựa trên những lỗi tìm được cho các cơ quan thực thi pháp luật và tình báo ở Mỹ, Anh, Canada và các quốc gia khác. Nhiều nhà nghiên cứu bảo mật chuyên tìm kiếm lỗ hổng trong iOS cũng thường không báo cáo lỗi cho Apple vì họ muốn giữ lỗi cho chính họ hoặc bán chúng cho bên thứ ba.
Khi được hỏi về việc có bao giờ báo cáo lỗi trong iOS cho Apple khi chúng được tìm thấy bằng phần mềm từ Corellium hay không, Mark Dowd, người sáng lập Azimuth, đáp: "Không."
Apple dường như không có mối quan hệ thân thiết cho lắm với các chuyên gia nghiên cứu bảo mật.
Daniel Cuthbert, người phụ trách nghiên cứu an ninh mạng tại ngân hàng Santander, nói rằng nhóm của ông đã sử dụng Corellium để kiểm tra các ứng dụng của ngân hàng trên các thiết bị iPhone và phiên bản iOS khác nhau. Ông cho biết phần mềm này tỏ ra rất hữu ích.
"Sức mạnh thực sự của Corellium là nó giúp mọi người viết các ứng dụng tốt hơn, bằng cách phân phối và thử nghiệm chúng theo cách tự động chứ không phụ thuộc vào các thiết bị vật lý", Cuthbert nói. "Lệnh cấm của Apple đang làm tổn thương giới kinh doanh nhiều hơn họ nghĩ."
Một phần quan trọng khác trong phản hồi của Corellium là Apple đã biết về công ty này trong nhiều năm và luôn tỏ ra thân thiện với một trong những người sáng lập của nó, Chris Wade. Corellium cáo buộc rằng Apple đã mời Wade tham gia vào chương trình "tìm lỗi nhận thưởng" của mình vào năm 2017. Thậm chí Apple còn mời Wade về làm việc, một năm trước khi Wade thành lập Corellium. Kể từ đó tới nay, theo Corellium, Wade đã báo cáo 7 lỗi iOS cho Apple, với giá trị phần thưởng tương ứng lên tới 300.000 USD. Tuy nhiên đến nay Apple vẫn chưa thanh toán.
Phát ngôn viên của Apple không phản hồi về vấn đề này, nói rằng nó thuộc nội dung trong hồ sơ gốc của công ty. Wade cũng chưa bình luận gì.
Vụ kiện của Corellium có thể sẽ còn nhiều bí ẩn và phức tạp.
Tuy nhiên, theo một số nhà nghiên cứu bảo mật, sau khi chương trình trả tiền cho việc tìm lỗi của Apple được tung ra vào năm 2016, đến nay một số người vẫn chưa được chi trả. Tất nhiên, đã có những người được trả tiền trong vài năm qua.
Corellium gợi ý rằng họ biết lý do thực sự tại sao Apple đã không trả tiền cho Wade. Tuy nhiên, lý do này chưa thể được công bố ở hiện tại, vì có thể khiến vụ kiện thêm mở rộng.
Hôm qua, một báo cáo từ Forbes tiết lộ rằng Apple đang đàm phán để mua lại công ty khởi nghiệp trước đó của Wade. Đây là một công ty cung cấp một dạng sản phẩm tương tự như Corellium. Nhiều nguồn tin khác từ Motherboard nói rằng Apple cũng đang đàm phán để mua lại chính Corellium, nhưng những cuộc đàm phán đó đã không đi đến đâu.
Tham khảo Vice
Nguồn: Genk.vn