Access Now phủ nhận việc tiếp cận hoặc xâm nhập vào hệ thống bảo mật kỹ thuật của Apple. Vào cuối tháng 10 và đầu tháng 11, một số chính trị gia bắt đầu nhận thông báo trên điện thoại thông minh của họ về các cuộc tấn công cố ý từ nhà nước nhằm vào các thiết bị của họ. Bộ trưởng Ashwini Vaishnaw chỉ ra rằng những tuyên bố của Apple rất mơ hồ và rằng một cuộc điều tra sẽ được tiến hành để đi đến đáy vấn đề. Indian Computer Emergency Response Team (CERT-In) sau đó đã phát đi một cảnh báo về các lỗ hổng trên những chiếc iPhone và iPad cũ chưa được vá.
Các thông báo chỉ xác nhận một cố gắng xâm nhập vào thiết bị từ các tác nhân nhà nước. Việc các thiết bị thực sự đã bị xâm phạm hay chưa, chưa được xác nhận. Những thông báo này đã tạo ra sự chia rẽ trên các nền tảng truyền thông xã hội như Reddit và X, nơi fan cuồng cống hiến của Apple đang khen ngợi Apple vì sự tiền phong trong lĩnh vực an ninh mạng và hiểu rằng toàn bộ sự tranh cãi này chỉ là một cách để Apple quảng cáo miễn phí. Trên mặt khác, có những người không thích ngay lập tức đánh giá tin tức này là sự chỉ trích về sự yếu kém của bảo mật trên các thiết bị Apple và coi đó là một đòn vào danh tiếng của thương hiệu này.
Phiên bản email của thông báo gợi ý rằng các khách hàng bị ảnh hưởng nên liên hệ và nhận sự trợ giúp từ các chuyên gia, với một liên kết đến trang của Access Now, nơi có các công cụ và tài nguyên để hỗ trợ sứ mệnh bảo vệ quyền số hóa của cá nhân ở bất kỳ đâu trên hành tinh. Nhà kinh tế và nhà văn Sanjeev Sanyal đặt ra một số câu hỏi ‘phản xạ thông thường’ cho Apple trên X và kết luận rằng việc chuyển giao khách hàng cho Access Now chỉ có thể là do “Ba khả năng: (1) Đây là một cá nhân giả mạo – nhưng Apple chưa khẳng định điều này (2) Apple đã thuê một tổ chức phi chính phủ quản lý hệ thống bảo mật kỹ thuật của mình (3) Nhóm có chủ đích đã xâm nhập vào đội ngũ bảo mật của Apple và hiện nay đang điều khiển nó (điều này có nhiều hệ quả).”
Chúng tôi đã liên hệ với Access Now với một cặp câu hỏi đơn giản, 1) Apple đã thuê Access Now để quản lý hệ thống bảo mật kỹ thuật của mình chưa? và 2) Access Now đã xâm nhập vào đội ngũ bảo mật của Apple chưa? Enrique Gasteazoro, Giám đốc Truyền thông và Giao tiếp của Access Now, đã trả lời rằng “Câu trả lời cho cả hai câu hỏi trong email của bạn đều là không.” Trên trang hỗ trợ cho thông báo đe dọa từ các kẻ tấn công nhà nước, Apple đã cung cấp một liên kết đến một số nguồn tài nguyên, trong đó có Access Now, nơi người dùng bị ảnh hưởng có thể nhận được sự giúp đỡ.
Access Now đã đưa ra phản hồi với một thông điệp rõ ràng về sự cần thiết của quyền riêng tư và việc đưa vào danh sách đen các phần mềm độc hại hoặc gián điệp xâm phạm quyền công dân. Rand Hammound, Nhà hoạch định Chiến dịch Giám sát tại Access Now nói: “Những thông báo của Apple này làm nổi bật sự thiếu hành động và trách nhiệm về việc lạm dụng phần mềm gián điệp tại Ấn Độ suốt nhiều năm qua. Việc tiếp tục sử dụng công nghệ giám sát xâm phạm, đặc biệt trên các nhà báo và những người có quan điểm phê phán, làm suy yếu quá trình và giá trị dân chủ, gây cản trở tự do báo chí và tạo điều kiện cho việc vi phạm quyền con người lặp đi lặp lại.” Access Now cũng đã chỉ ra rằng không có hành động có ý nghĩa nào đã được thực hiện ở Ấn Độ mặc dù đã có các phát hiện vào năm 2021 rằng phần mềm gián điệp Pegasus đã được sử dụng để xâm phạm hàng trăm thiết bị Ấn Độ.
Các kẻ tấn công nhà nước sử dụng các công cụ cực kỳ tinh vi đã được mài giũa để tránh phát hiện và xâm nhập vào thiết bị người dùng thông qua các lỗ hổng “zero-day”, tức là những thiếu sót chưa được vá trong mã nguồn phần mềm mà các tên tội phạm sử dụng để tạo đột nhập vào thiết bị. Bảo vệ người dùng khỏi những cuộc tấn công tập trung và hướng đích như vậy không giống như bảo vệ người dùng khỏi các tội phạm mạng thông thường và đòi hỏi kỹ thuật mà ngay cả các công ty công nghệ lớn như Apple cũng có thể không trang bị đủ. Thông báo cho người dùng trong trường hợp đối mặt với những cuộc tấn công như vậy được coi là một bước đi trách nhiệm của Apple, mặc dù chi tiết là “mơ hồ.”
Sau tranh luận, Apple đã phát biểu: “Apple không gán quảng cáo đe dọa cho bất kỳ kẻ tấn công nhà nước cụ thể nào. Những kẻ tấn công nhà nước nhận được nguồn lực và công cụ vượt xa những tên tội phạm mạng thông thường và các cuộc tấn công của họ phát triển theo thời gian. Phát hiện những cuộc tấn công như vậy dựa trên tín hiệu thông tin đe dọa thường không hoàn hảo và không đầy đủ. Có thể rằng một số thông báo đe dọa từ Apple có thể là sai sót hoặc một số cuộc tấn công không được phát hiện. Chúng tôi không thể cung cấp thông tin về những nguyên nhân dẫn đến việc phát đi thông báo đe dọa của chúng tôi, vì điều đó có thể giúp kẻ tấn công nhà nước thích nghi thay đổi hành vi để tránh bị phát hiện trong tương lai.” Mặc dù đã làm rõ, tuyên bố và thậm chí
An Apple logo in front of a keyboard and some binary code. (Image Credit: Reuters).
In late October and early November, a number of politicians started receiving alerts on their smartphones, about attempts by state sponsored attackers to compromise their devices. Union Minister Ashwini Vaishnaw pointed out that the claims made by Apple were vague, and that a probe will be conducted to get to the bottom of the matter. The Indian Computer Emergency Response Team (CERT-In) then released an alert on vulnerabilities in old and unpatched iPhones and iPads.
The alerts only confirm an attempt at compromising the device by state sponsored actors. Whether the devices were actually compromised or not, has not been confirmed. The alerts have created a divide on social media platforms such as Reddit and X, where fanboys are praising Apple for its proactive stance to cybersecurity, and interpreting the whole controversy as free publicity for Apple. On the other hand, there are haters who instantly judged the news to be an indication of the weak security in Apple devices, and have considered it as a hit on the reputation of the brand.
I am just making a common-sense point on the Apple alert issue. Just read the language of the notification. It is full of loaded language like “because of who you are or what you do” – hardly a technical alert. Also odd how it states “state-sponsored” without any proof 1/n pic.twitter.com/oGy1t5Bu4M
— Sanjeev Sanyal (@sanjeevsanyal) November 1, 2023
The email version of the alert suggested that the affected customers reach out and get help from experts, with a link to the page of Access Now, that has the tools and resources to support its mission, to protect the digital rights of an individual anywhere on the planet. Economist and writer Sanjeev Sanyal raised some ‘common sense’ questions for Apple on X, and concluded that handing over customers to Access Now could only be because of “Three possibilities: (1) This is an impersonation – but Apple has not yet claimed this (2) Apple has outsourced its technical security systems to an NGO (3) Apple’s security team has been infiltrated by agenda driven groups that are now driving it (which has many implications).”
Access now has an open website where individuals targeted by state sponsored attacks can get genuine help from experts
We reached out to Access Now with a pair of simple questions, 1) Has Apple has outsourced its technical security systems to Access Now? and 2) Has Access Now infiltrated Apple’s security team? Enrique Gasteazoro, Director of Communications and Engagement with Access Now, responded with, “The answer to both the questions in your email is no.” In the support page for the threat notifications of state-sponsored attackers, Apple has provided a link to a number of resources where affected users can get help, including Access Now.
Also Read | Here is how you can safeguard yourself from cyber threats on your Apple device
Access Now has responded to the controversy with a clear message on the need for privacy and blacklisting of malware or spyware that infringes on the rights of citizens. Rand Hammound, Surveillance Campaigner at Access Now said, “These Apple notifications underline the lack of action and accountability on spyware abuse in India over the years. The continued use of invasive surveillance tech, especially on journalists and critical voices, erodes democratic processes and values, hinders press freedom, and enables repeated human rights violations.” Access Now has also pointed out that no meaningful action has been taken in India despite the 2021 revelations that the Pegasus spyware had been used to compromise hundreds of Indian devices.
States have tools and resources at their disposal beyond the means of run-of-the-mill cybercriminals
State sponsored attackers use highly sophisticated tools that have been honed to evade detection, and compromise devices of users through zero day exploits, unpatched shortcomings in the code of software that malicious actors use to get a toehold on devices. Securing users from such focused, targeted attacks is not the same as protecting users from garden variety cyber criminals, and is something that even major technology companies such as Apple, may not be equipped to handle. Often when users are facing such attacks, they may be at threat through channels and avenues extending much beyond just their devices and their private data. This is why notifying its users is considered as a responsible move by Apple, even though the details are ‘vague’.
Following the controversy, Apple released this statement: “Apple does not attribute the threat notifications to any specific state-sponsored attacker. State-sponsored attackers are very well-funded and sophisticated, and their attacks evolve over time. Detecting such attacks relies on threat intelligence signals that are often imperfect and incomplete. It’s possible that some Apple threat notifications may be false alarms, or that some attacks are not detected. We are unable to provide information about what causes us to issue threat notifications, as that may help state-sponsored attackers adapt their behavior to evade detection in the future.” Despite the clarification, the statement, and indeed the alerts themselves, have ended up raising more questions than answers.
What has happened here is that Apple’s new threat notification system has worked as intended and has proactively taken steps to inform and educate its users about the threat that they are facing, and suggesting further action that they can take to secure their data and devices. There would not have been a controversy or a ‘problem’ at all if Apple had simply decided not to send out any alerts at all, but warning its users was the responsible step to take here, and is a commendable move by Apple.
