Bề mặt tấn công di động mở rộng: Rủi ro mới từ AI ẩn và lỗi hệ thống

Bối cảnh: Thiết bị di động trở thành mục tiêu hấp dẫn

Bề mặt tấn công di động hiện nay rất rộng, phân mảnh và không được kiểm soát hiệu quả. Để phòng thủ, doanh nghiệp cần hiểu rõ tình trạng thiết bị và quy mô các cuộc tấn công.

Báo cáo của Jamf về thiết bị di động, được tổng hợp từ năm 2025, cung cấp cái nhìn toàn diện. Nó không chỉ xem xét tình trạng của hơn 1,7 triệu thiết bị iOS và Android mà còn phân tích các hoạt động xâm nhập chống lại các thiết bị này. Trong bối cảnh các doanh nghiệp ngày càng mở rộng sử dụng thiết bị di động để thu thập dữ liệu nhạy cảm – từ dữ liệu bệnh nhân trong y tế đến quản lý hàng tồn kho trong bán lẻ – thiết bị di động trở thành cả một "mỏ vàng" dữ liệu cho kẻ tấn công.

Mô tả minh họa bảo mật thiết bị di động

Tình trạng thiết bị: Thất bại trong bảo mật

Tình trạng bảo mật trên thiết bị di động thực sự đáng báo động, bao gồm cả thiết bị cá nhân và thiết bị do công ty cấp phát. Theo số liệu từ Jamf:

• Hệ điều hành lỗi thời: 53% các tổ chức có ít nhất một thiết bị đang sử dụng hệ điều hành lỗi thời một cách nghiêm trọng.
• Kết nối điểm nóng rủi ro: 18% nhân viên đã kết nối với các điểm nóng không an toàn.
• Thiết bị đã bẻ khóa: Một trong 850 thiết bị đã bị bẻ khóa (jailbroken).
• Lừa đảo qua email: 8% thiết bị đã nhấp vào liên kết lừa đảo. Điều này có nghĩa là một công ty có 100 nhân viên sử dụng điện thoại sẽ có 8 nhân viên ở rủi ro cao bị tấn công qua email.

Nguy cơ từ ứng dụng và AI ẩn

Các ứng dụng di động cũng góp phần gia tăng rủi ro. Trong số 135 ứng dụng phổ biến được phân tích vào ngày 31/12/2025, khoảng 86% có các lỗ hổng bảo mật được biết đến, chỉ có 14% được coi là ít rủi ro nhất.

Đáng lo ngại hơn, một rủi ro mới và đang gia tăng là việc triển khai AI ẩn (Shadow AI). Theo định nghĩa, cả người dùng và đội ngũ bảo mật đều không nhận biết sự hiện diện hoặc hoạt động của AI này; nó chỉ xuất hiện âm thầm trong các ứng dụng bên thứ ba. Michael Covington, Phó chủ tịch chiến lược danh mục sản phẩm tại Jamf, cảnh báo: "Tôi nghĩ AI ẩn là một rủi ro đang gia tăng cần được quản lý tốt hơn. Chúng ta đang nhận biết rõ hơn về cách nó xâm nhập tổ chức, nhưng tôi không nghĩ chúng ta đã ở giai đoạn đầu để kiểm soát hoàn toàn vấn đề này".

Hoạt động của kẻ tấn công: Zero-click và lỗ hổng nghiêm trọng

Thiết bị di động là mục tiêu giá trị cao và rủi ro lớn của các tác nhân xấu, và các cuộc tấn công của họ ngày càng tinh vi.

Các loại phần mềm gián điệp (spyware) nổi bật năm 2025 bao gồm Predator, Pegasus, Graphite, Dante, Landfall và Spyrtacus. Đến năm 2026, Coruna và DarkSword đã được thêm vào danh sách. Một số loại spyware này ban đầu được phát triển bởi các công ty gián điệp thương mại cho mục đích giám sát quốc gia, nhưng sau đó cũng bị tội phạm mạng sử dụng vì động cơ tài chính.

Lỗ hổng zero-click đang rất phổ biến, đặc biệt nhắm vào các mục tiêu là nhà báo và giám đốc điều hành. Ví dụ, CVE-2025-43300 (mức độ nghiêm trọng 10.0) có thể gây hỏng bộ nhớ trong iOS chỉ bằng cách phân tích một tệp ảnh. Tương tự, CVE-2025-24201 cũng có mức độ nghiêm trọng 10.0 và có thể gây hỏng bộ nhớ hoặc cho phép kẻ tấn công sửa đổi dữ liệu để thực hiện mã không mong muốn.

Tương tự trên Android, các lỗ hổng đáng chú ý năm 2025 bao gồm CVE-2025-10585 (9.8) có thể dẫn đến viết lại bộ nhớ, gây sập ứng dụng hoặc thực thi mã; CVE-2025-48543 (8.8) có thể dẫn đến tăng đặc quyền cục bộ; và CVE-2024-53104 (7.8) có thể dẫn đến lỗi viết ngoài vùng cho phép, gây hỏng bộ nhớ.

Mô tả chủ đề bảo mật tối

Bài học rút ra

Mặc dù hầu hết các rủi ro được mô tả trong báo cáo có thể được phòng thủ, nhưng rõ ràng là người dùng thiết bị di động cá nhân không luôn thực hiện các bước cần thiết. Nhà cung cấp hệ điều hành thường xuyên phát hành bản vá lỗi để khắc phục các CVE, nhưng con số 53% thiết bị lỗi thời cho thấy rủi ro vẫn cao.

"An ninh mạng là một mục tiêu di chuyển", nhận định Covington. "Khi chúng ta học hỏi thêm về kỹ thuật của kẻ tấn công, chúng ta sẽ tinh chỉnh biện pháp phòng thủ". Tuy nhiên, hiện tại, kẻ tấn công đang vượt xa đội ngũ phòng thủ. Điều này sẽ tiếp tục cho đến khi doanh nghiệp giành được sự kiểm soát tốt hơn đối với "tài sản" di động của mình.

Doanh nghiệp cần hiểu rõ quy mô và độ phức tạp của hệ sinh thái di động của mình. Việc duyệt danh mục thiết bị, hiểu cách cấu hình chúng và có các điểm kiểm soát thích hợp để triển khai bản cập nhật phần mềm, bản vá hệ điều hành và các sửa đổi bảo mật là điều cốt yếu.