За користувачами масово стежать через їхні смартфони: хто опинився в зоні ризику

В iOS 14 Apple є кольорові індикатори в рядку стану, які попереджають користувачів про активність камери або мікрофона, але експерти попереджають, що це не зупиняє хакерів, пише techradar.com.

Шпигунське ПЗ, розроблене Intellexa і Cytrox, що отримало назву Predator, може працювати на скомпрометованих пристроях iOS, не відображаючи жодних індикаторів камери або мікрофона. Програма обходить індикатор, перехоплюючи оновлення активності датчиків до того, як вони відобразяться в системному інтерфейсі, тим самим приховуючи від користувачів інформацію про поточне спостереження.

Як Predator обходить індикатор конфіденційності iOS

Шкідливе ПЗ не використовує нову вразливість, йому потрібен раніше отриманий доступ на рівні ядра для перехоплення системних процесів.

Дослідження Jamf Threat Labs показало, як шпигунське ПЗ обходить індикатор iOS, перехоплюючи процес SpringBoard, зокрема, метод _handleNewDomainData: всередині класу SBSensorActivityDataProvider. Це єдине перехоплення обнуляє об'єкт, відповідальний за передачу оновлень датчиків у призначений для користувача інтерфейс, запобігаючи появі зелених або помаранчевих крапок, коли камера або мікрофон використовуються.

Попередні методи, включно з прямими перехопленнями SBRecordingIndicatorManager, були замінені цим більш ефективним і менш помітним перехопленням.

Predator містить кілька модулів, які обробляють різні аспекти спостереження, як-от модуль HiddenDot і модуль CameraEnabler.

У той час як перший пригнічує візуальні індикатори, другий обходить перевірки дозволів камери, використовуючи зіставлення шаблонів інструкцій ARM64 і перенаправлення коду автентифікації покажчика (PAC). Це дає змогу шкідливій програмі виявляти внутрішні функції, які не є загальнодоступними, і перенаправляти їх виконання без спрацьовування стандартних сповіщень безпеки iOS.

Шпигунське ПЗ також перехоплює VoIP-аудіо через окремий модуль. На відміну від HiddenDot, модуль запису VoIP не пригнічує безпосередньо індикатори мікрофона, а використовує методи скритності, щоб залишатися непоміченим. Ці модулі можуть записувати аудіодані незвичними шляхами і маніпулювати системними процесами, що ускладнює стандартні методи виявлення.

Конструкція Predator ускладнює виявлення, оскільки він впроваджує код у критично важливі системні процеси, такі як SpringBoard і mediaserverd. Він використовує перехоплювачі винятків Mach, а не звичайні вбудовані перехоплювачі, що робить типове програмне забезпечення для захисту кінцевих точок і брандмауери недостатніми для виявлення шкідливої активності.

Ключовими ознаками, за якими мають стежити фахівці із захисту, є поведінкові індикатори, як-от несподіване створення аудіофайлів або оновлення активності датчиків, що не спричиняють сповіщень призначеного для користувача інтерфейсу.

Спостереження за відображенням пам'яті, портами винятків і змінами стану потоків у системних процесах також може виявити ознаки компрометації.

Predator демонструє, як комерційне шпигунське ПЗ може використовувати інструменти штучного інтелекту і доступ на системному рівні для здійснення складного стеження за пристроями iOS.

Користувачам і групам безпеки слід розуміти методи забезпечення постійної присутності, використовувані Predator, і відстежувати пристрої на предмет ледь помітних аномалій в активності датчиків.

Раніше ми писали про те, що популярні моделі смартфонів вийшли з ладу через новий патч. Власники смартфонів Samsung Galaxy S22 поскаржилися, що останнє оновлення безпеки призвело до блокування їхніх пристроїв. Проблема, схоже, стосується всіх моделей лінійки, починаючи від базового S22 до S22 Ultra.