បច្ចេកទេសរំខានក្រោយការកេងចំណេញ (Post-Exploitation Tampering Technique) ត្រូវបានប្រើប្រាស់ដោយហេគឃ័រដើម្បីបញ្ឆោតគោលដៅឱ្យជឿជាក់ថា Apple iPhone កំពុងតែដំណើរការ Lockdown Mode ប៉ុន្តែ ជាក់ស្តែងវាកំពុងតែធ្វើការវាយប្រហារទៅវិញ។
បន្ទប់ពិសោធ Jamf Threat Labs បានបង្ហាញថា ប្រសិនបើហេគឃ័របានលួចចូលទៅក្នុងឧបករណ៍របស់អ្នក ពួកគេអាចប្រើ Lockdown Mode ដើម្បីឆ្លងកាត់ (Bypassed) នៅពេលអ្នកបើកដំណើរការវា (Activation)។ ឬអាចនិយាយបានថា គោលដៅត្រូវបានអនុវត្ត Fake Lockdown Mode នៅលើឧបករណ៍ដែលត្រូវបានសម្របសម្រួលគ្រប់គ្រងដោយហេគឃ័រតាមរយៈមធ្យោបាយផ្សេងៗដូចជា បញ្ហាសុវត្ថិភាពដែលមិនត្រូវបាន Patched និងអាចត្រូវបានបញ្ជាកូដតាមចិត្ត។
Lockdown Mode ត្រូវបានណែនាំដោយក្រុមហ៊ុន Apple កាលពីឆ្នាំមុនជាមួយនឹងជំនាន់ iOS 16 ដែលជាវិធានសុវត្ថិភាពត្រូវបានអភិវឌ្ឍក្នុងគោលបំណងការពារបុគ្គលពីការគំរាមកំហែងឌីជីថលទំនើបដូចជា ក្រុមស៊ីឈ្នួល Spyware ដោយកាត់បន្ថយការវាយប្រហារ Surface។ អ្វីដែល Lockdown Mode នៅជំនាន់ iOS 16 មិនបានធ្វើនោះគឺការពារប្រតិបត្តិការ Payload អាក្រក់នៅលើ Compromised Device និងអនុញ្ញាតឱ្យមេរោគ Trojan ដាក់ពង្រាយ ដើម្បីរៀបចំ Lockdown Mode និងផ្តល់ឱ្យអ្នកប្រើប្រាស់នូវការបំភាន់ថាមានសុវត្ថិភាព។ អ្នកស្រាវជ្រាវបានថ្លែងថា នៅក្នុងករណីទូរស័ព្ទឆ្លងមេរោគ មិនមានការការពារសុវត្ថិភាពណាមួយដើម្បីបញ្ឈប់មេរោគមិនឱ្យដំណើរការនៅលើ Background ទេ ទោះបីជាអ្នកប្រើប្រាស់បានបើក ឬមិនបានបើកមុខងារ Lockdown Mode ក្តី។
Lockdown Mode ក្លែងក្លាយត្រូវបានបំពាក់ជាមួយនឹងមុខងារបញ្ឆោត ដែលត្រូវបានជំរុញដំណើរការ (Activating) Setting (ឧទាហរណ៍៖ SetLockdownModeGloballyEnabled, lockdownModeEnabled និង isLockdownModeEnabledForSafari) ដើម្បីបង្កើតឯកសារមួយឈ្មោះថា “/fakelockdownmod_on” និងចាប់ផ្តើមដំណើរការ Userspace Reboot ដែលបញ្ចប់ដំណើរការទាំងអស់ និង Restarts ប្រព័ន្ធឡើងវិញដោយមិនប៉ះពាល់ដល់ Kernel។ នេះក៏មានន័យថា បំណែកនៃមេរោគដែលបង្កប់នៅលើឧបករណ៍នេះមិនមានយន្តការជាប់លាប់ណាមួយនឹងបន្តកើតមាន សូម្បីតែបន្ទាប់ពីការចាប់ផ្ដើមដំណើរការឡើងវិញ និងលួចស៊ើបការណ៍សម្ងាត់ពីអ្នកប្រើប្រាស់ឧបករណ៍ក៏ដោយ។ អ្នកស្រាវជ្រាវនៅបន្ទប់ពិសោធ Jamf បានថ្លែងថា ដោយមានការបញ្ឆោតអ្នកប្រើឱ្យជឿថា ឧបករណ៍របស់ពួកគេកំពុងតែប្រតិបត្តិការធម្មតា និងបន្ថែមនូវមុខងារសុវត្ថិភាពដែលអាចត្រូវបានដំណើរការ (Activated) ហើយអ្នកប្រើមិនសង្ស័យពីសកម្មភាពអាក្រក់អ្វីនោះទេ ប៉ុន្តែការពិតហេគឃ័រកំពុងតែវាយប្រហារសោះ។ យើងមិនរំពឹងថាមុខងារសុវត្ថិភាពដ៏ទូលាយនេះនឹងមានអ្នកប្រើប្រាស់ Interface Separated ពីការអនុវត្តជាក់ស្តែងនោះទេ។
ក្រៅពីនេះ ហេគឃ័រអាចផ្លាស់ប្តូរ Lockdown Mode នៅលើ Safari Web Browser ដើម្បីអាចបង្ហាញ (Possible To View) PDF Files ដែលត្រូវបានប្លុក (Blocked) នៅពេល Setting ត្រូវបានបើក (Turn On)។ អ្នកស្រាវជ្រាវបានបន្តថា ក្រុមហ៊ុន Apple បានជំរុញពី Lockdown Mode ទៅ Kernel level តាំងពីជំនាន់ iOS 17។ វិធីសាស្រ្តផ្លាស់ប្តូរនេះគឺជាជំហានមួយដ៏ល្អក្នុងការជំរុញសុវត្ថិភាព ដូចជាការផ្លាស់ប្តូរដែលធ្វើឡើងដោយ Lockdown Mode នៅក្នុង Kernel ហើយវាមិនអាចធ្វើទៅបានដោយគ្មាន System Reboot នោះទេ។ បន្ទប់ពិសោធ Jamf បានបង្ហើបប្រាប់ពីហេតុការណ៍នេះ បន្ទាប់ពីបន្ទប់ពិសោធបានបង្ហាញពីវិធីសាស្រ្តផ្សេងនៅលើ iOS 16 ដែលអាចត្រូវបានកេងចំណេញដើម្បីលួចព័ត៌មាន ឬធ្វើសកម្មភាពនៅលើឧបករណ៍ Apple ដោយគ្មានអ្នកដឹង តាមរយៈការបោកបញ្ឆោតជនរងគ្រោះឱ្យគិតថា Airplane Mode នៅលើឧបករណ៍ពួកគេគឺត្រូវបានបើក (Enabled)។
លោក Covington អនុប្រធានផ្នែកនៅបន្ទប់ពិសោធ Jamf បានថ្លែងថា ការស្រាវជ្រាវរបស់បន្ទប់ពិសោធ Jamf នៅលើបញ្ហា Fake Airplane Mode និង Fake Lockdown Mode ត្រូវបានរកឃើញពីរបៀបដែល Interfaces ធ្វើឱ្យទុកចិត្ត និងផ្តល់ឱ្យអ្នកប្រើប្រាស់នូវការធានាថាឧបករណ៍របស់ពួកគេមានសុវត្ថិភាព។ លទ្ធផលស្រាវជ្រាវរបស់យើងបានបង្ហាញថា Interface របស់អ្នកប្រើប្រាស់អាចត្រូវបានរំខានយ៉ាងងាយបំផុត។ មិនថាវាជាការវាយប្រហារបែប Phishing ដែលបញ្ជូន HTTPs ដើម្បីបន្លំអ្នកប្រើប្រាស់ឱ្យគិតថាគេហទំព័រនោះគឺមានសុវត្ថិភាព ឬមេរោគនោះទេ វាជាការបំភាន់អ្នកប្រើឱ្យគិតថាមុខងារដូចជា Airplane Mode ឬ Lockdown Mode គឺមានសុវត្ថិភាពនៅពេលដំណើរការ ហើយវាច្បាស់ណាស់ថាទម្រង់ (landscape) នៃការវាយប្រហារកំពុងតែត្រូវបានផ្លាស់ប្តូរ។ ទាំងអស់នេះ ជាអ្វីដែលយើងចង់បង្ហាញពីការវិវត្តពាក់ព័ន្ធនឹងបច្ចេកទេសឆបោកបែប Social Engineering ជាងនេះទៀត យើងអាចទស្សទាយបានថាបច្ចេកទេសឆបោកបែបនេះនឹងកើនឡើងនាពេលខាងមុខ៕
ប្រភពព័ត៌មាន៖ ថ្ងៃទី០៥ ខែធ្នូ ឆ្នាំ២០២៣
https://thehackernews.com/2023/12/warning-for-iphone-users-experts-warn.html
