Ngồi nhâm nhi cốc trà đá mòn cả đít, lướt Hacker News thấy mấy anh tài Project Zero lại vừa quăng một quả bom nổ rầm trời. Pixel 10 - con cưng của Google - vừa dính ngay một chuỗi exploit 0-click (zero-click). Các ông đ*o nghe nhầm đâu, không cần click vào link lừa đảo hay tải app rác, máy vẫn toang như thường!
Tóm tắt nhanh cho anh em lười đọc: Chuyện quái gì vừa xảy ra?
Để tôi dịch lại ngôn ngữ loài người cho anh em dễ hình dung:
- Gà nhà đá nhau: Project Zero là đội ngũ hacker mũ trắng bá đạo của chính Google. Và vâng, họ vừa tự bóc phốt con hàng flagship chưa kịp nguội của công ty mẹ.
- 0-click là cái quái gì? Lỗ hổng 0-click nghĩa là chỉ cần điện thoại của các ông nhận được một gói tin (packet) hoặc một tin nhắn độc hại được craft cẩn thận, hacker đã có thể leo rào vào tận giường ngủ. Nạn nhân không cần chạm vào màn hình luôn.
- Chain exploit (Chuỗi lỗ hổng): Thường để làm được trò ảo ma này, hacker phải kết hợp một chuỗi các bug liên tiếp. Từ việc chọc thủng lớp mạng (thường là baseband/modem) đến leo thang đặc quyền (privilege escalation) để ăn sâu vào kernel của Android.
- Tưởng Pixel bảo mật xịn xò con bò thế nào, chip Titan M các kiểu, ai dè vẫn có ngày bị chính team nhà lôi ra tế.
Giang cư mận Hacker News đang tế sống thế nào?
Vì độ hot của vụ này, các diễn đàn IT đang combat nảy lửa chia thành mấy phe rõ rệt:
- Phe thuyết âm mưu chán đời: "Đấy, tôi bảo rồi, xài smartphone bây giờ thà về quê nuôi cá trồng thêm rau, xài cục gạch Nokia cho lành. Càng thông minh càng dễ bị hack."
- Phe fanboy Google (Defenders): "Các ông phải nhìn vào mặt tích cực chứ! Project Zero tự tìm ra lỗi và vá trước khi bị bọn hacker ma giáo dùng proxy mờ ám khai thác để chôm tiền ảo của anh em. Rõ ràng là Google làm security quá uy tín!"
- Phe pháp sư ẩn danh (Tech Geeks): Bàn luận sôi nổi về việc cách ly baseband khó vãi chưởng. Đa số anh em đều cho rằng code của các modem mạng (baseband) thường là code đóng (closed-source), toàn legacy C/C++ từ thời Tống, hở tí là tràn bộ đệm (buffer overflow). Rất ma giáo và khó debug.
Góc nhìn từ Coding4Food: Bài học sinh tồn sau vụ này
Sự thật phũ phàng là đ*o có hệ thống nào an toàn tuyệt đối. Nếu một con flagship được nhồi cả tấn tiền R&D như Pixel 10 còn dính 0-click, thì dăm ba cái API chắp vá của anh em mình mỏng manh cỡ nào?
Bài học ở đây là: Đừng tin bố con thằng nào, kể cả dữ liệu đầu vào có vẻ vô hại nhất.
Validate data chặt vào, implement rate limiting, và làm ơn nhốt mấy cái service nguy hiểm vào sandbox. Lâu lâu trích ngân sách thuê cái cloud vps để tự pen-test môi trường của mình cẩn thận. Chứ cứ code xong ném đấy chạy mượt là vỗ tay thì sớm muộn cũng có ngày ra đê.
Nguồn: A 0-click exploit chain for the Pixel 10 - Project Zero
