Máy Mac có 'miễn nhiễm virus'? Flashback, TCC và sự thật về mã độc trên Mac OS
Nhiều người từng nghĩ Mac 'khó dính' mã độc. Nhưng vụ Flashback năm 2012 lây khoảng 600.000 máy cho thấy Mac OS vẫn có thể bị tấn công.
Flashback và cú rẽ của niềm tin
Trong nhiều năm, không ít người dùng có cảm giác Mac OS không thể bị nhiễm virus. Ấn tượng này phần nào đến từ các tuyên bố trước đây của Apple trên website, đại ý rằng “không giống Windows, máy Mac không thể bị nhiễm virus”, và các tính năng bảo vệ sẽ lo phần còn lại để người dùng “không cần phải làm gì cả”. Từ đó, quan niệm “Mac mặc định an toàn” lan rộng, nhất là với nhóm người dùng phổ thông.
Nhưng niềm tin ấy bắt đầu lung lay rõ rệt vào năm 2012, khi mã độc Trojan có tên Flashback lây nhiễm khoảng 600.000 máy Mac. Sự cố này trở thành bước ngoặt, cho thấy Mac cũng có thể là mục tiêu của những chiến dịch tấn công quy mô lớn, chứ không chỉ vài vụ lẻ tẻ. Đến tháng 6 năm đó, Apple đã thay đổi cách diễn đạt, chuyển sang cụm từ thận trọng hơn, Mac “được thiết kế để an toàn”.
Từ góc nhìn của tin tặc, mục tiêu thường đi theo giá trị. Khi người dùng Mac tăng lên, rủi ro bị nhắm tới cũng tăng theo. Những năm gần đây, nhiều kỹ sư ứng dụng bắt đầu chọn Mac làm máy làm việc chính. Trong lĩnh vực trí tuệ nhân tạo đang phát triển nhanh, các nhà cung cấp công cụ phát triển cũng ưu tiên hỗ trợ Mac. Điều đó khiến Mac ngày càng trở thành “mỏ dữ liệu” hấp dẫn hơn: tài khoản, khóa truy cập, tệp dự án, thông tin đăng nhập… tập trung nhiều hơn trên một hệ sinh thái từng được xem là khó bị tấn công.
Đáng chú ý, Flashback không chỉ dựa vào một cách lây nhiễm. Ban đầu, nhóm phát tán dùng các trình cài đặt giả mạo phần mềm phát video để lừa người dùng tự cài mã độc. Sau đó, phương thức tấn công phát triển, khai thác lỗ hổng trong Java, khiến người dùng có thể bị nhiễm chỉ bằng việc truy cập một trang web được thiết kế độc hại. Đây là điểm khiến nhiều người phải nhìn lại, đôi khi rủi ro không đến từ việc cố tình cài thứ lạ, mà đến từ một thao tác rất bình thường như mở trang web.
Sau Flashback, con đường lây nhiễm mã độc vào Mac đa dạng hơn, như phần mềm lậu, email lừa đảo, máy chủ phân phối bị xâm nhập. Về mặt chức năng, mã độc cũng phức tạp dần. Các biến thể “kết hợp” xuất hiện, tích hợp khả năng mã hóa tệp, đánh cắp thông tin và lây nhiễm sang các tệp nhị phân khác. Nói cách khác, thay vì một con virus làm một việc, nhiều loại mã độc giờ đây làm nhiều việc cùng lúc.
TCC và lớp phòng thủ hai tầng - mạnh nhưng không tuyệt đối
Mac có nhiều cơ chế phòng vệ tích hợp. Tuy nhiên, sai lầm phổ biến là nghĩ rằng “chỉ vì là Mac nên an toàn”. Muốn hiểu đúng rủi ro, cần nắm vài khác biệt kỹ thuật cơ bản giữa Mac và Windows, đồng thời nhìn vào cách mã độc thường tìm đường xâm nhập và cách hệ thống tự bảo vệ mình.
Một điểm đáng chú ý là cơ chế quyền truy cập trên Mac có cấu trúc hai cấp. Ngoài quyền hệ điều hành (root), Mac OS còn có cơ chế kiểm soát quyền riêng tư TCC (Transparency, Consent, and Control). TCC kiểm soát việc ứng dụng truy cập camera, micro, ghi màn hình và một số thư mục cụ thể. Những thao tác này thường yêu cầu người dùng cho phép theo từng ứng dụng, và yêu cầu đó có thể tồn tại ngay cả khi người dùng có quyền root.
Trong khi đó, trên Windows, nhiều thao tác tương tự có thể được thực hiện nếu có quyền quản trị viên. Vì vậy, cùng là “quyền cao” nhưng cách hệ điều hành thực thi khác nhau. Bên cạnh chuyện quyền, định dạng tệp thực thi và các tính năng bảo vệ cũng khác, dẫn đến khác biệt về cách mã độc được tạo ra, được đóng gói và cách nó tìm cách tồn tại trong hệ thống.
Tuy Mac có nhiều lớp phòng vệ, điều đó không có nghĩa kẻ tấn công chịu dừng lại. Các kỹ thuật né tránh phát hiện ngày càng tinh vi. Dữ liệu trong bài gốc nêu trường hợp “Banshee” năm 2024 đã khai thác các cơ chế phòng thủ của hệ điều hành để né tránh bị phát hiện. Thực tế này nhắc lại một điều: phòng thủ là cuộc chạy đua, và hệ thống càng phổ biến thì càng bị nghiên cứu kỹ.
Không chỉ kỹ thuật, hệ sinh thái tấn công cũng thay đổi. Từ năm 2023 trở đi, phần mềm độc hại dưới dạng dịch vụ (MaaS) tăng lên, khiến cả những người kỹ năng kỹ thuật thấp cũng có thể tham gia vào các cuộc tấn công. Cùng với sự lan rộng của các ngôn ngữ đa nền tảng, đã có những trường hợp mã độc Windows được chuyển sang Mac, làm mờ dần ranh giới “hệ điều hành nào thì an toàn hơn”.
Vì thế, kết luận quan trọng nhất là Mac OS có nhiều lớp bảo vệ, nhưng không phải áo giáp tuyệt đối. Cách nhìn đúng không phải Mac an toàn hay không an toàn, mà là Mac được thiết kế để an toàn, nhưng vẫn có thể bị tấn công. Và mức an toàn ấy phụ thuộc không chỉ vào cơ chế của hệ điều hành, mà còn vào thói quen sử dụng: tải gì, cài gì, bấm vào đâu và cấp quyền cho ứng dụng nào?
