Cuối tuần trước, Apple vừa thông báo rằng họ sẵn sàng trả đến 1,5 triệu USD cho các lỗi trong iPhone và sẽ trao cho các nhà nghiên cứu bảo mật những thiết bị đặc biệt để họ có thể tìm lỗ hổng trong iOS.
Những thông báo này, không chỉ nhận được sự tán thưởng từ hội nghị bảo mật Black Hat tại Las Vegas, mà còn được chào đón với niềm hân hoan từ cộng đồng jailbreak và hack iOS – những người xem đây như một "thời khắc lịch sử" cho việc bảo mật iPhone trên toàn thế giới.
1 triệu USD, số tiền thưởng cao nhất Apple dành cho một lỗ hổng trên iOS.
Nhưng niềm vui này chỉ kéo dài vài ngày khi Apple cho thấy "lòng tốt" của mình bằng cách khởi kiện Corellium, một startup chuyên cung cấp các phiên bản iOS giả lập cho các nhà phát triển và các nhà nghiên cứu bảo mật để họ có thể tìm kiếm lỗ hổng trong iOS và bán chúng trên các thị trường dành cho lỗ hổng khai thác phần mềm.
Trong đơn khiếu nại của mình, Apple cho rằng Corellium đang vi phạm bản quyền của công ty bằng cách bán dịch vụ cho phép khách hàng tạo ra những phiên bản iOS giả lập.
Đơn kiện của Apple
Apple cho biết trong đơn kiện: "Hoạt động kinh doanh của Corellium hoàn toàn dựa trên việc thương mại hóa việc sao chép trái phép hệ điều hành và các ứng dụng có bản quyền chạy trên iPhone, iPad và các thiết bị khác của Apple.... Corellium làm vậy mà không có giấy phép hay cho phép từ Apple."
Chris Wade, nhà sáng lập của Corellium, không phản hồi lại yêu cầu bình luận. Đầu năm nay, trang Motherboard từng tiết lộ rằng, hàng loạt nhà nghiên cứu bảo mật, bao gồm cả Corellium, đang mua lại các nguyên mẫu iPhone ăn trộm, để cho phép họ phân tách iOS dễ dàng hơn và tìm ra các lỗ hổng bên trong nó.
Hàng loạt các nhà nghiên cứu bảo mật, những người chuyên tìm các lỗ hổng và cách thức để khai thác chúng đã bày tỏ sự phẫn nộ của mình trên Twitter, cho rằng động thái nhắm đến Corellium của Apple cũng giống như Microsoft hay các nhà phát triển hệ điều hành khác nhắm đến các máy ảo – những bản sao của các hệ điều hành để chạy bên trong các hệ điều hành khác và được sử dụng rộng rãi trong việc nghiên cứu bảo mật và cho các mục đích hợp pháp khác.
Matt Suiche, nhà nghiên cứu nổi tiếng đã phát triển phần mềm giả lập cho biết trên Twitter: "Thử tưởng tượng đến tình trạng Điện toán Đám mây hiện nay sẽ ra sao nếu trước đây VMware bị khởi kiện bởi IBM và Microsoft vào năm 1998." – Vmware là một nền tảng máy ảo rất nổi tiếng trên môi trường máy tính.
Những iPhone đặc biệt dùng cho nghiên cứu bảo mật.
Daniel Cuthbert, một nhà nghiên cứu kỳ cựu của cộng đồng bảo mật, đã gọi đây là một "bước đi kém cỏi" của Apple. Luca Todesco, một hacker nổi tiếng của iPhone, đã gọi vụ kiện này cũng tương tự như việc Sony từng khởi kiện nhà nghiên cứu bảo mật George Hotz vào năm 2011 vì đã jailbreak thành công chiếc PlayStation 3.
Apple bảo vệ cho hành động của mình trong đơn kiện, khi lập luận rằng Corellium khuyến khích khách hàng của mình "bán bất kỳ thông tin nào được phát hiện ra trên thị trường mở cho người trả giá cao nhất" và rằng "chức năng độc quyền" của Corellium chỉ là "cho phép việc tạo ra các thiết bị hoạt động iOS giả lập, chạy trên các bản sao chép trái phép của iOS."
Thắt chặt việc kiểm soát thị trường hack iPhone
Nói cách khác, Apple không hề thích thú với ý tưởng về việc các nhà nghiên cứu bảo mật sử dụng Corellium để tìm kiếm lỗ hổng khai thác và rồi sau đó có thể bán chúng cho những nhà môi giới lỗ hổng như Zerodium hay bán trực tiếp cho các chính phủ như Azimuth Security từng làm.
"Corellium không làm bất kỳ điều gì để giới hạn việc sử dụng sản phẩm của họ trong các nghiên cứu và thử nghiệm iOS cho mục đích tốt. Corellium cũng không yêu cầu người dùng của họ tiết lộ bất kỳ lỗi phần mềm nào họ tìm thấy cho Apple, vì vậy Apple phải làm điều này cho đúng." Apple cho biết trong đơn kiện.
"Thay vào đó, Corellium đang bán một sản phẩm để lấy lợi nhuận, sử dụng các bản sao trái phép từ phần mềm độc quyền của Apple, mà họ công khai thừa nhận ý định sử dụng cho bất kỳ mục đích nào, không hề có giới hạn, bao gồm cả việc bán các lỗ hổng khai thác phần mềm trên thị trường mở."
Theo một cách nào đó, việc cung cấp các thiết bị đặc biệt và khởi kiện Corellium là một phần trong cùng một chiến lược của Apple: nỗ lực kiểm soát những gì các nhà nghiên cứu bảo mật làm với iPhone. Mặt khác, có lẽ điều đó là không thể tránh khỏi.
Kiểm soát chặt chẽ việc các lỗ hổng trên iOS được rao bán trên thị trường mở, Apple cũng kiểm soát luôn được số tiền mà các nhà nghiên cứu bảo mật được thưởng khi tìm ra lỗ hổng bảo mật trên nền tảng này. Họ khó có thể kỳ vọng được thưởng những số tiền lớn nếu không thể bán cho những người mua cạnh tranh với Apple.
Còn với việc khởi kiện Corellium, Apple còn nỗ lực tước nốt công cụ của các nhà nghiên cứu bảo mật khiến họ còn khó khăn trong việc tìm ra các lỗ hổng trên iOS.
Một nhân viên giấu tên của Apple nói rằng: "Với những gì Corellium có, bạn không thể mong đợi điều gì khác ngoài một vụ kiện." Nhân viên này giải thích rằng, với cách Apple cấp phép phần mềm của mình, bạn không thể chạy phiên bản máy ảo của MacOS trên VMware hay các nền tảng giả lập khác nếu nó không chạy trên máy tính Mac. Corellium đang làm điều tương tự như vậy, nhưng với iOS.
Tham khảo Motherboard
Nguồn: Genk.vn
Công ty cổ phần Người Bạn Vàng
Địa điểm: Hồ Chí Minh
Lương: Cạnh Tranh
Địa điểm: Hồ Chí Minh
Lương: 12 Tr - 15 Tr VND
Middle/ Senior NodeJS Developer
CÔNG TY CỔ PHẦN HASAKI BEAUTY & CLINIC
Địa điểm: Hồ Chí Minh
Lương: Cạnh Tranh
(Senior) IOT Device Support Engineer
Địa điểm: Hồ Chí Minh
Lương: Cạnh Tranh
Địa điểm: Hồ Chí Minh
Lương: Cạnh Tranh
Địa điểm: Hà Nội
Lương: 8 Tr - 15 Tr VND
Chuyên viên Cao cấp Phát triển Ứng dụng IOS Developer - TA050
Ngân Hàng TMCP Việt Nam Thịnh Vượng - VPBANK
Địa điểm: Hà Nội
Lương: Cạnh Tranh