Apple cho biết kể từ khi giới thiệu "Chế độ khóa" gần 4 năm trước, hãng chưa phát hiện trường hợp thiết bị nào chạy ở chế độ này bị phần mềm gián điệp được thuê xâm nhập thành công. Người phát ngôn của Apple, Sarah O'Rourke, cho biết hôm thứ Sáu: "Chúng tôi không biết bất kỳ thiết bị Apple nào có bật Chế độ khóa đã bị tấn công thành công bởi phần mềm gián điệp được thuê". Đây là lần đầu tiên công ty công khai tuyên bố như vậy một năm sau khi ra mắt Chế độ khóa, đồng thời một lần nữa nhắc lại tính hiệu quả của tính năng bảo vệ này trước các cuộc tấn công phần mềm gián điệp cấp chính phủ.
Chế độ khóa là một tính năng bảo mật tùy chọn được Apple giới thiệu vào năm 2022 cho nhiều loại thiết bị của Apple, bao gồm cả iPhone. Khi được kích hoạt, hệ thống sẽ đóng một loạt chức năng và lối vào thường bị kẻ tấn công khai thác, từ đó thu hẹp bề mặt tấn công. Apple định vị rõ ràng mô hình này là cung cấp sự bảo vệ bổ sung cho "người dùng có nguy cơ cao" - chẳng hạn như nhà báo, nhà hoạt động, chính trị gia, luật sư và các nhóm khác phải đối mặt với mối đe dọa từ phần mềm gián điệp của chính phủ. Công ty đặt tên cho mẫu máy này là được thiết kế để bảo vệ chống lại phần mềm gián điệp cấp chính phủ do các nhà cung cấp như Intellexa, NSO Group, Paragon Solutions và các hãng khác cung cấp.
Trong vài năm qua, Apple đã công khai thừa nhận rằng người dùng của họ thực sự có nguy cơ bị tấn công bởi phần mềm gián điệp và đã bắt đầu tích cực đưa ra các thông báo cảnh báo hơn cho những người dùng đã bị tấn công hoặc nghi ngờ bị tấn công. Apple đã gửi nhiều đợt thông báo bảo mật tới người dùng ở hơn 150 quốc gia và khu vực, cảnh báo họ rằng họ có thể đã bị phần mềm gián điệp xâm nhập. Mặc dù số lượng người liên quan cụ thể chưa được tiết lộ nhưng nhìn chung người ta tin rằng có ít nhất hàng chục người trở lên. Những thông báo cảnh báo này cũng cho thấy Apple hiện có khả năng hiển thị đáng kể về các cuộc tấn công phần mềm gián điệp nhắm vào hệ sinh thái của mình.
Về mặt tổ chức nghiên cứu bảo mật tư nhân, Donncha Ó Cearbhaill, người đứng đầu Phòng thí nghiệm An ninh Quốc tế của Tổ chức Ân xá, nơi từ lâu đã theo dõi các cuộc tấn công bằng phần mềm gián điệp thương mại, cho biết rằng khi ông và nhóm của mình điều tra hàng chục trường hợp tấn công phần mềm gián điệp, cho đến nay họ cũng "không có bằng chứng nào cho thấy một chiếc iPhone đã bật chế độ khóa tại thời điểm xảy ra vụ tấn công đã bị xâm phạm thành công". Một số tổ chức nghiên cứu bảo mật và quyền kỹ thuật số, bao gồm Tổ chức Ân xá Quốc tế và Phòng thí nghiệm Công dân của Đại học Toronto, đã công khai ghi nhận nhiều cuộc tấn công thành công vào người dùng iPhone, nhưng không có báo cáo nào về việc những kẻ tấn công vượt qua chế độ khóa. Ngược lại, trong ít nhất hai trường hợp công khai, các nhà nghiên cứu của Citizen Lab đã tuyên bố rõ ràng rằng Chế độ khóa đã ngăn chặn thành công sự xâm nhập của phần mềm gián điệp trong thực tế: một lần chống lại cuộc tấn công của Pegasus của NSO và một lần khác chống lại cuộc tấn công của phần mềm gián điệp Predator hiện được tích hợp vào hệ thống Intellexa.
Trong một cuộc tấn công phần mềm gián điệp khác nhắm vào iPhone, các nhà nghiên cứu bảo mật của Google đã chỉ ra rằng bộ công cụ gián điệp sẽ chủ động từ bỏ việc khai thác lỗ hổng khi phát hiện thiết bị mục tiêu đang ở chế độ khóa. Người ta suy đoán rằng đây là một chiến lược trốn tránh do kẻ tấn công thực hiện nhằm tránh để lộ công cụ của chính chúng trong môi trường bảo vệ có độ nhạy cảm cao. Điều này có nghĩa là đối với một số kẻ tấn công, sự tồn tại của chế độ khóa không chỉ nâng cao ngưỡng kỹ thuật mà còn có tác dụng “sốc” ở một mức độ nhất định.
Patrick Wardle, một chuyên gia trong ngành, người đã tập trung vào vấn đề bảo mật của Apple trong nhiều năm và cũng là người chỉ trích công ty, nhận xét rằng chế độ khóa là một tính năng "cực kỳ quan trọng" làm tăng đáng kể độ khó kỹ thuật của phần mềm gián điệp tấn công người dùng Apple. Ông nói: “Có thể nói rằng chế độ khóa máy là một trong những tính năng tăng cường bảo mật mạnh mẽ nhất từng được ra mắt cho người tiêu dùng bình thường”. Theo quan điểm của ông, bằng cách "giảm bề mặt tấn công", chế độ khóa sẽ phá hủy toàn bộ lớp đường tấn công mà kẻ tấn công có thể dựa vào, buộc chúng phải tạo ra các chuỗi tấn công phức tạp và tốn kém hơn.
Wardle giải thích thêm rằng chế độ khóa sẽ cắt đứt nhiều cơ chế phân phối từ xa phổ biến và các phương thức khai thác lỗ hổng bằng cách chặn hầu hết các loại tệp đính kèm thông tin và hạn chế một số tính năng của WebKit. Đối với những kẻ tấn công, việc "giảm đáng kể bề mặt tấn công có thể truy cập từ xa" này đặc biệt ảnh hưởng đến cái gọi là chuỗi tấn công "không nhấp chuột" - các hoạt động khai thác có thể được hoàn thành từ xa mà không yêu cầu nạn nhân bất kỳ hành động nào. Trong bối cảnh các cuộc tấn công phần mềm gián điệp diễn ra phổ biến và thường dựa vào các cuộc xâm nhập không cần nhấp chuột, kiểu tăng cường này đặc biệt có ý nghĩa đối với những người dùng có nguy cơ cao.
Tất nhiên, Apple và các chuyên gia bảo mật cũng thừa nhận rằng không thể loại trừ hoàn toàn việc chế độ khóa đã bị vượt qua thành công trong một số cuộc tấn công, nhưng cho đến nay nó vẫn chưa bị Apple hoặc các nhà nghiên cứu bên ngoài phát hiện hoặc tiết lộ. Đánh giá về phong cách giao tiếp bên ngoài luôn cực kỳ thận trọng và cách diễn đạt thận trọng của Apple đối với các sự cố bảo mật, công ty một lần nữa công khai tuyên bố rằng họ "vẫn chưa phát hiện" một cuộc tấn công thành công vượt qua Chế độ khóa, vẫn được coi là một cột mốc quan trọng trong sự phát triển của Chế độ khóa.