Trong những năm gần đây, các nhà báo(cửa sổ mới) đã trở thành một trong những mục tiêu hàng đầu của sự giám sát bởi các chính phủ trên khắp thế giới. Nếu bạn là một phóng viên(cửa sổ mới) làm việc về các chủ đề nhạy cảm, không có quốc gia nào an toàn cho quyền riêng tư trong bối cảnh thị trường quốc tế về các ứng dụng phần mềm gián điệp(cửa sổ mới) có thể bí mật theo dõi tất cả dữ liệu được truyền và lưu trữ trên iPhone của bạn.

Khi các ứng dụng này sinh sôi nảy nở, việc hiểu cách tìm các ứng dụng ẩn trên iPhone và xóa chúng đã trở nên rất quan trọng.

Phần mềm gián điệp nhắm vào các nhà báo

Vào tháng 6 năm 2025, các nhà nghiên cứu tại Citizen Lab(cửa sổ mới) đã báo cáo bằng chứng mới(cửa sổ mới) rằng chính phủ Ý đang nhắm mục tiêu vào các nhà báo và nhà hoạt động bằng phần mềm gián điệp Graphite được phát triển bởi công ty Israel Paragon Solutions(cửa sổ mới).

Citizen Lab trước đây đã tìm thấy bằng chứng về việc sử dụng Graphite(cửa sổ mới) ở Úc, Canada, Đan Mạch, Singapore, Israel và Síp, với các liên kết tiềm năng đến cảnh sát ở Canada. Graphite chịu trách nhiệm cho một cuộc tấn công hack vào tháng 1 năm 2025 nhắm vào gần 100 nhà báo và các thành viên khác của xã hội dân sự sử dụng WhatsApp(cửa sổ mới) trên iPhone của họ. Đáng chú ý, trước các sự kiện hiện tại ở Hoa Kỳ, Cơ quan Thực thi Di trú và Hải quan Hoa Kỳ (ICE) đã ký hợp đồng trị giá 2 triệu đô la(cửa sổ mới) với Paragon vào năm 2024.

Graphite hoạt động theo cách rất giống với phần mềm gián điệp Pegasus(cửa sổ mới) khét tiếng từ NSO Group(cửa sổ mới). Là đối thủ cạnh tranh của Paragon Solutions trong thế giới phần mềm gián điệp đánh thuê, công ty này được biết đến với mối quan hệ chặt chẽ với nhà nước Israel, và phần mềm gián điệp của họ được phân loại là hàng xuất khẩu quân sự(cửa sổ mới) của Israel. NSO Group bán phần mềm của mình cho các chính phủ trên khắp thế giới(cửa sổ mới), bao gồm Ả Rập Xê Út, Dubai, Ấn Độ, Mexico, Maroc, Rwanda và Hungary, và phần mềm Pegasus của họ có liên quan đến vụ ám sát tàn bạo(cửa sổ mới) nhà hoạt động nhân quyền Ả Rập Xê Út Jamal Khashoggi(cửa sổ mới).

Cách tin tặc ẩn ứng dụng trên iPhone

Cả Graphite và Pegasus đều là các bộ công cụ khai thác nhắm vào iPhone. Graphite mới hơn và ít tài liệu hơn nhiều so với Pegasus, và điều đáng nói là chính phủ Israel đã tìm cách thay thế Pegasus bằng Graphite(cửa sổ mới) trong kho vũ khí của Ả Rập Xê Út.

Apple đã phát hành một bản vá(cửa sổ mới) để giảm thiểu tác hại của Pegasus vào năm 2023, và sau cuộc tấn công WhatsApp, họ đã phát hành bản vá cho iOS 18.3.1 để giải quyết lỗ hổng bị Graphite khai thác. Nhưng không có gì đảm bảo các bản vá này sẽ hiệu quả đối với các phiên bản cập nhật của phần mềm gián điệp.

Cả hai ứng dụng đều khai thác lỗ hổng zero-day trong iOS bằng nhiều vector tấn công khác nhau. Đáng lo ngại nhất trong số này là các cuộc tấn công zero-click(cửa sổ mới) khai thác lỗ hổng trong các ứng dụng như iMessage, WhatsApp hoặc FaceTime để âm thầm lây nhiễm thiết bị mà nạn nhân không cần nhấp vào liên kết hoặc tương tác với điện thoại của họ.

Sau khi iPhone bị nhiễm, phần mềm gián điệp sử dụng kiến trúc mô-đun để kích hoạt hoặc vô hiệu hóa các thành phần từ xa dựa trên mục tiêu giám sát của khách hàng. Các khả năng bao gồm:

  • Ghi nhật ký bàn phím (Keylogging)
  • Truy cập micrô và camera (để nghe lén âm thanh và video trực tiếp)
  • Truy cập nhật ký cuộc gọi, SMS, danh bạ và email
  • Truy cập dữ liệu ứng dụng nhắn tin đã mã hóa (Signal, WhatsApp, Telegram) bằng cách sử dụng các dịch vụ trợ năng hoặc bằng cách thu thập dữ liệu trước khi mã hóa
  • Theo dõi GPS
  • Chụp ảnh màn hình

Phần mềm gián điệp rất khó phát hiện trên iPhone và có thể tự hủy để xóa bằng chứng nếu nó không gọi về máy chủ trong một khoảng thời gian nhất định hoặc theo lệnh. NSO Group đã tạo ra một phiên bản Pegasus cũng nhắm mục tiêu vào các thiết bị Android(cửa sổ mới). Phiên bản này có chức năng tương tự như phiên bản iOS nhưng sử dụng một chế độ tấn công khác.

Rất khó để ước tính có bao nhiêu thiết bị bị ảnh hưởng bởi một trong hai phần mềm gián điệp này, nhưng vào năm 2021, NSO Group đã để lộ 50.000 số điện thoại(cửa sổ mới) của các mục tiêu tiềm năng của Pegasus.

Cách kiểm tra iPhone của bạn để tìm phần mềm gián điệp Pegasus

Apple không cho phép các ứng dụng chống phần mềm độc hại thực sự trên App Store (nói đúng ra, các ứng dụng “chống phần mềm độc hại” có sẵn trên App Store, nhưng các giới hạn về quyền truy cập vào tài nguyên hệ thống hạn chế nghiêm trọng tính hữu dụng của chúng). Và dù sao thì phần mềm chống phần mềm độc hại truyền thống cũng không hiệu quả đối với Pegasus trên các nền tảng khác.

Công ty bảo mật thiết bị di động iVerify cung cấp công cụ Threat Hunting(cửa sổ mới) mà họ tuyên bố đã phát hiện bảy trường hợp nhiễm Pegasus(cửa sổ mới) (tính đến tháng 12 năm 2024). Có sẵn với giá chưa đến một đô la trên App Store (bằng cách nào đó lách luật hạn chế quét phần mềm độc hại của Apple), iVerify Basic(cửa sổ mới) rất dễ sử dụng. Nhưng vì là phần mềm độc quyền mã nguồn đóng, không có cách nào để đánh giá độc lập mức độ hiệu quả của nó.

Một tùy chọn khác là sử dụng Mobile Verification Toolkit (MVT(cửa sổ mới)), một công cụ mã nguồn mở miễn phí từ nhóm nhân quyền Security Lab của Tổ chức Ân xá Quốc tế(cửa sổ mới). Công cụ này trích xuất các loại dữ liệu khác nhau từ bản sao lưu iPhone để tìm bằng chứng về cuộc tấn công Pegasus, bao gồm

  • Tin nhắn SMS
  • Nhật ký cuộc gọi
  • Dữ liệu từ các ứng dụng đã cài đặt
  • Nhật ký hệ thống

Sau đó, nó phân tích dữ liệu này để phát hiện “Chỉ báo Xâm phạm” (IOC), chẳng hạn như các quy trình và tên tệp cụ thể được biết là có liên quan đến Pegasus. Tuy nhiên, cần lưu ý rằng để sử dụng công cụ này, bạn sẽ cần một PC chạy Linux hoặc Mac và sự quen thuộc với dòng lệnh. Một số hiểu biết sâu hơn về pháp y phần mềm độc hại cũng được yêu cầu để tận dụng tối đa kết quả.

Một tùy chọn thân thiện với người dùng hơn (có GUI) là công cụ iMazing(cửa sổ mới), sử dụng phương pháp luận “phản ánh chặt chẽ” phương pháp của MVT mã nguồn mở. Đây là phần mềm trả phí, nhưng bản dùng thử miễn phí bao gồm công cụ phát hiện Pegasus. Tuy nhiên, bạn vẫn cần quyền truy cập vào PC chạy Linux hoặc Mac.

Cách kiểm tra iPhone của bạn để tìm phần mềm gián điệp Graphite

Hiện chưa có công cụ nào có khả năng phát hiện cụ thể nhiễm Graphite.

Các công cụ phát hiện Pegasus được thảo luận ở trên có thể có một chút cơ hội phát hiện phần mềm gián điệp mới hơn, nhưng không thể dựa vào chúng cho việc này. Các mẹo chung được thảo luận dưới đây cũng có thể hữu ích để phát hiện hành vi đáng ngờ.

Cách tìm các ứng dụng ẩn trên iPhone

Nhìn chung (ngoài loại phần mềm gián điệp do nhà nước bảo trợ được thảo luận ở trên), iPhone không cho phép các ứng dụng của bên thứ ba thực sự “ẩn” trong nền như trên Android. Tuy nhiên, một số ứng dụng có thể được cố tình làm cho khó tìm.

Bất chấp quy trình đánh giá App Store, ký mã và hộp cát (sandboxing) khá mạnh mẽ của Apple, iPhone không miễn nhiễm với virus hoặc phần mềm độc hại(cửa sổ mới). Những người có quyền truy cập trực tiếp vào điện thoại của bạn (chẳng hạn như những kẻ bạo hành gia đình) cũng có thể cài đặt các dạng phần mềm gián điệp kém tinh vi hơn khi bạn không chú ý.

Điều này có nghĩa là mọi người đều có thể hưởng lợi từ việc kiểm tra định kỳ để đảm bảo rằng không có gì đang chạy trên iPhone của bạn mà không nên có. Dưới đây là một số mẹo để tìm các ứng dụng ẩn:

1. Kiểm tra Thư viện ứng dụng: Vuốt hết cỡ sang màn hình chính ngoài cùng bên phải. Tại đây bạn sẽ thấy tất cả ứng dụng đã cài đặt trên iPhone, ngay cả khi bạn không thấy chúng trên các màn hình chính thông thường. Tìm kiếm bất kỳ ứng dụng nào lạ với bạn, đặc biệt là những ứng dụng có tên nước ngoài. Nghiên cứu trực tuyến xem liệu chúng đại diện cho phần mềm hợp pháp hay là vỏ bọc phổ biến của phần mềm độc hại. Nếu có bất kỳ nghi ngờ nào, hãy gỡ cài đặt các ứng dụng đó.

Kiểm tra Thư viện ứng dụng để tìm ứng dụng ẩn

2. Kiểm tra các hồ sơ cấu hình độc hại: Những hồ sơ này được thiết kế cho doanh nghiệp và trường học để quản lý iPhone từ xa, nhưng có thể là một vector quan trọng cho các cuộc tấn công phần mềm độc hại(cửa sổ mới). Mở ứng dụng Cài đặt và đi tới Cài đặt chungQuản lý VPN & Thiết bị. Xóa bất kỳ hồ sơ nào(cửa sổ mới) bạn không nhận ra.

3. Kiểm tra bộ nhớ của bạn: Mở ứng dụng Cài đặt và đi tới Cài đặt chungDung lượng iPhone. Xem lại danh sách các ứng dụng đã cài đặt hiển thị tại đây. Bất kỳ sự khác biệt nào giữa các ứng dụng hiển thị trên màn hình chính và những ứng dụng được hiển thị ở đây đều cần được điều tra thêm.

Kiểm tra dung lượng iPhone để tìm phần mềm độc hại

4. Cảnh giác với hành vi đáng ngờ: Hao pin bất thường hoặc sử dụng dữ liệu nhiều, hoặc điện thoại nóng khi không sử dụng, có thể cho thấy phần mềm độc hại. Nếu có kỹ năng kỹ thuật, bạn có thể sử dụng các công cụ bắt gói tin như Wireshark(cửa sổ mới) để phân tích dữ liệu iPhone của bạn đang đi đâu.

Phải làm gì về phần mềm gián điệp trên thiết bị của bạn

Một tin tức đáng khích lệ từ nghiên cứu của Citizen Lab là các phần mềm gián điệp như Graphite và Pegasus có tính nhắm mục tiêu cao — chủ yếu vào các nhà báo, nhưng các nhà hoạt động, người bất đồng chính kiến, nhân vật chính trị và những người làm việc trong các lĩnh vực nhạy cảm cũng có thể là mục tiêu.

Nếu lo ngại rằng mình có thể là mục tiêu cho loại hình giám sát này, bạn nên kích hoạt Chế độ phong tỏa. Đây là một tính năng đặc biệt được Apple thiết kế để tăng cường bảo mật cho iPhone chống lại chính loại hình tấn công mạng có mục tiêu được sử dụng bởi Pegasus và Graphite. Để bật Chế độ phong tỏa, hãy mở ứng dụng Cài đặt và đi tới Quyền riêng tư & Bảo mậtBảo mậtChế độ phong tỏa.

Sử dụng Chế độ phong tỏa để bảo vệ bản thân khỏi các ứng dụng ẩn

Cần lưu ý rằng việc sử dụng Chế độ phong tỏa đi kèm với một số nhược điểm, như chức năng bị hạn chế, giảm sự tiện lợi, các vấn đề tương thích tiềm ẩn và ít tùy chọn tùy chỉnh hơn. Do đó, đây không phải là lựa chọn tuyệt vời cho hầu hết mọi người. Nhưng nếu bạn là nhà báo, hoặc nghĩ rằng mình có thể là mục tiêu của phần mềm gián điệp, lợi ích bảo mật của nó có thể lớn hơn bất kỳ sự bất tiện nhỏ nào.

Những điều khác bạn có thể làm bao gồm:

  1. Cập nhật iOS: Biện pháp phòng thủ tốt nhất chống lại phần mềm độc hại là giữ cho iOS luôn được cập nhật, vì Apple thường xuyên vá hệ điều hành di động của mình để giải quyết các lỗ hổng mới khi phát hiện ra chúng.
  2. Đừng jailbreak(cửa sổ mới) điện thoại của bạn: Việc này loại bỏ nhiều tính năng bảo mật thường được tích hợp sẵn trong iOS và có khả năng cho phép bên thứ ba vượt qua App Store và tải về (sideload)(cửa sổ mới) các ứng dụng vào điện thoại mà bạn không hay biết.
  3. Khôi phục cài đặt gốc điện thoại: Nếu nghi ngờ về một ứng dụng trên điện thoại, bạn nên khôi phục cài đặt gốc điện thoại(cửa sổ mới). Việc này sẽ loại bỏ hầu hết phần mềm độc hại “cấp độ người tiêu dùng”. Nhưng có thể không đủ để loại bỏ phần mềm gián điệp do nhà nước bảo trợ như Graphite và Pegasus. Nếu nghi ngờ mức độ giám sát này, tốt nhất là nên gọi chuyên gia phần mềm độc hại chuyên nghiệp hoặc đơn giản là thay thế iPhone của bạn.
  4. Sử dụng NetShield Ad-blocker: Giải pháp lọc DNS của Proton VPN có thể chặn các cuộc gọi DNS đến các tên miền lừa đảo và phần mềm độc hại đã biết. Điều đó có nghĩa là ngay cả khi iPhone của bạn bị nhiễm phần mềm độc hại, nó có thể không thể “gọi về nhà”.

Nếu bạn lo ngại về việc bị nhắm mục tiêu bằng phần mềm độc hại do nhà nước bảo trợ, Chế độ phong tỏa được thiết kế đặc biệt để chống lại các mối đe dọa như vậy. Đối với những người khác, Apple phần lớn làm tốt công việc giữ an toàn cho iPhone, nhưng hãy chắc chắn giữ cho thiết bị của bạn được cập nhật phiên bản iOS mới nhất và luôn cảnh giác.

Tìm hiểu về bảo mật Android và iOS: Hệ điều hành nào an toàn hơn?(cửa sổ mới)