Kỷ Nguyên Tấn Công Không Cần Chạm
Các cuộc tấn công spyware nhắm vào nhà báo, nhà hoạt động nhân quyền và những người bất đồng chính kiến không còn là chuyện hiếm hay ngoại lệ. Đầu năm 2025, WhatsApp thông báo cho khoảng 90 người dùng — nhiều trong số đó là nhà báo và thành viên xã hội dân sự tại châu Âu — rằng họ đã bị nhắm làm mục tiêu bởi công ty spyware Israel Paragon Solutions. Vài tháng sau, Apple gửi thông báo cảnh báo đến một nhóm người dùng iOS mới; phân tích pháp y xác nhận hai trong số họ, cả hai đều là nhà báo, đã bị tấn công bởi spyware Graphite của Paragon sử dụng phương thức zero-click — nghĩa là họ thậm chí không cần bấm vào đường link nào.
Đây không phải những sự cố đơn lẻ. Chúng là tiêu chuẩn.
Trong 15 năm qua, các nhà nghiên cứu bảo mật đã ghi nhận vô số trường hợp hacker nhà nước nhắm và xâm nhập thành công nhà báo, nhà hoạt động nhân quyền, những người phê phán và đối lập chính trị. Những cuộc tấn công này dựa vào các công cụ đắt đỏ, tinh vi và bí mật cho phép kẻ điều hành xâm nhập và cài đặt spyware lên máy tính, nhưng đặc biệt là điện thoại thông minh — nơi lưu giữ gần như toàn bộ dữ liệu về cuộc sống hàng ngày của một người.
Apple Lockdown Mode: Lựa Chọn Tối Thượng
Biện pháp phòng thủ mạnh mẽ nhất của Apple là Lockdown Mode, ra mắt năm 2022 và được tăng cường đáng kể năm 2024. Khi bật, nó giảm drám diện tích tấn công của iPhone hoặc Mac:
- Chặn tệp đính kèm tin nhắn: Tất cả tệp đính kèm ngoại trừ ảnh bị chặn. Xem trước liên kết bị vô hiệu hóa.
- Tắt biên dịch JavaScript JIT: Một vector chính cho các cuộc tấn công thực thi mã bị đóng lại.
- Hạn chế kết nối có dây: Thiết bị không thể đồng bộ với máy tính hoặc phụ kiện khi khóa.
- Duyệt web qua VPN only: Safari buộc đường hầm VPN, định tuyến lưu lượng qua kênh mã hóa.
- Giới hạn chia sẻ liên hệ: Album và danh sách chia sẻ trong FaceTime bị vô hiệu hóa.
Apple đã mở rộng tính năng tự động làm mờ khuôn mặt trong thư viện ảnh để bao gồm pixel hóa khuôn mặt tự động cho ảnh được chia sẻ với các liên hệ nhạy cảm — hữu ích cho nhà báo ghi lại các cuộc biểu tình hoặc xung đột.
Safe Browsing và Advanced Protection của Google
Cách tiếp cận của Google đối với phòng thủ spyware rộng hơn, do thị phần chi phối của Android. Công ty đã âm thầm lớp Enhanced Safe Browsing vào Chrome di động, cảnh báo chủ động khi người dùng điều hướng đến trang lừa đảo hoặc tải tệp độc hại.
Quant trọng hơn là Advanced Protection Program (APP) — phiên bản Google của Lockdown Mode nhưng cho Tài khoản Google. APP yêu cầu khóa bảo mật phần cứng (Titan Key của Google hoặc bất kỳ khóa FIDO2/WebAuthn nào), chặn truy cập ứng dụng bên thứ ba vào Gmail và Drive, và buộc khôi phục tài khoản qua quy trình nghiêm ngặt.
Với Android, Google đã giới thiệu thực thi cập nhật bảo mật tự động: các bản vá bảo mật quan trọng được đẩy đến thiết bị nhanh hơn, và các nhà mạng không thể chặn cập nhật bảo mật theo các yêu cầu đối tác Android mới.
Google cũng đã mở rộng Play Protect quét APK được sideload — vector lây nhiễm phổ biến cho spyware trên thiết bị Android ở các khu vực sideloading phổ biến.
Nâng cấp bảo mật âm thầm của Meta
Meta, sở hữu WhatsApp và Instagram phục vụ hàng tỷ người, đã âm thầm mở rộng xác thực hai yếu tố (2FA) bắt buộc và hệ thống thông báo đăng nhập trên các nền tảng. Năm 2025, Meta âm thầm bật Secret Conversations mặc định trên Messenger — mã hóa đầu cuối theo mặc định cho người dùng chưa chủ động tắt.
WhatsApp đã triển khai cải tiến xác minh mã bảo mật: nếu khóa bảo mật thiết bị của liên hệ thay đổi bất ngờ, WhatsApp hiện cảnh báo nổi bật — có thể là tín hiệu của cuộc tấn công man-in-the-middle hoặc thay đổi thiết bị.
Có lẽ quan trọng nhất, Meta đã bắt đầu giới hạn xem trước liên kết — khi chia sẻ URL, nền tảng không còn tìm nạp xem trước đầy đủ ở chế độ nền, loại bỏ một bề mặt tấn công được biết là spyware sử dụng để tiêm payload độc hại qua metadata liên kết.
Điều này có nghĩa gì cho Builders
Với các nhà sáng lập kỹ thuật và nhà phát triển hướng sản phẩm, xu hướng này báo hiệu một xu hướng rộng hơn: bảo mật stà lớp UX mặc định, không còn là addon tùy chọn. Apple, Google và Meta đang hội tụ trên một mô hình:
Lần tới khi bạn ship một ứng dụng tiêu dùng, hãy tự hỏi: bạn có đang cho người dùng cách có ý nghĩa để tăng cường bảo mật không, hay chỉ thêm checkbox trong trang cài đặt mà không ai thấy?
Cuộc đua vũ trang tiếp tục
Các nhà cung cấp spyware không đứng yên. Biến thể Graphite mới của NSO Group, được phân tích bởi Citizen Lab năm 2025, khai thác lỗ hổng trong pipeline render hình ảnh của iMessage — yêu cầu không tương tác người dùng và để lại dấu vết pháp y tối thiểu.
Các hoạt động của Paragon ở châu Âu đại diện cho một loại spyware thương mại mới với khách hàng là chính phủ. Sản phẩm được bán như dịch vụ, với cập nhật thường xuyên, hỗ trợ chuyên nghiệp và khả năng chối bỏ hợp lý.
Điều này có nghĩa các công cụ phòng thủ được xây dựng bởi Apple, Google và Meta sẽ cần phát triển nhanh hơn bao giờ hết. Hiện tại, thông điệp rõ ràng: điện thoại thông minh của bạn vừa là lỗ hổng lớn nhất vừa là tuyến phòng thủ quan trọng nhất. Các công ty xây dựng thiết bị đó cuối cùng đang nghiêm túc nhận trách nhiệm đó.