Charlie Osborne er en cybersikkerhedsjournalist og fotograf, der skriver for ZDNet og CNET fra London. PGP-nøgle: AF40821B.
Fuld biografi udgivet i Zero Day den 7. januar 2022 | Emne: Sikkerhed
En ny teknik, der forfalsker iPhone-nedlukninger for at udføre overvågning, er blevet offentliggjort af forskere.
Kaldt “NoReboot”, ZecOps' proof-of-concept (PoC) angreb beskrives som en persistensmetode, der kan omgå den normale praksis med at genstarte en enhed for at rydde ondsindet aktivitet fra hukommelsen.
Da debuterede med en analyse og et offentligt GitHub-lager i denne uge, sagde ZecOps, at NoReboot-trojaneren simulerer en ægte nedlukning, mens den giver et dækning for, at malware kan fungere – hvilket kunne omfatte skjult kapring af mikrofon og kamerafunktioner til at spionere på en håndsætsejer.
“Brugeren kan ikke mærke forskel på en rigtig nedlukning og en “falsk nedlukning,” siger forskerne. “Der er ingen brugergrænseflade eller nogen knap-feedback, før brugeren tænder telefonen igen”.
Teknikken overtager den forventede nedlukningshændelse ved at injicere kode i tre dæmoner: InCallService, SpringBoard og backboardd.
Når en iPhone er slukket, er der fysiske indikatorer på, at dette er blevet gennemført med succes, såsom en ring eller lyd, vibration og Apple-logoet, der vises på skærmen – men ved at deaktivere “fysisk feedback”, kan malwaren skabe udseendet af en nedlukning, mens en aktiv forbindelse til en operatør opretholdes.
ZecOps
“Når du skyder for at slukke, er det faktisk en systemapplikation /Applications/InCallService.app, der sender et shutdown-signal til SpringBoard, som er en dæmon, der er ansvarlig for størstedelen af UI-interaktionen,” forklarede forskerne. “Vi formåede at kapre signalet ved at tilslutte Objective-C-metoden -[FBSSystemService shutdownWithOptions:]. Nu i stedet for at sende et shutdown-signal til SpringBoard, vil det give både SpringBoard og backboardd besked om at udløse den kode, vi injicerede i dem.”
Det drejende hjul, der indikerer en nedlukningsproces, kan derefter kapres via backboard, og SpringBoard-funktionen kan både tvinges til at afslutte og blokere fra at genstarte igen. ZecOps sagde, at ved at overtage SpringBoard, kan en mål-iPhone “se ud og føles”, som om den ikke er tændt, hvilket er den “perfekte forklædning med det formål at efterligne en falsk strømafbrydelse.”
Brugere har dog stadig mulighed for en tvungen genstart. Det er her, at manipulation med backboard kommer yderligere ind – ved at overvåge brugerinput, herunder hvor længe knapperne holdes nede, kan en genstart simuleres lige før en ægte genstart finder sted, såsom ved at vise Apple-logoet tidligt.
“At forhindre brugere i at genstarte en inficeret enhed manuelt ved at få dem til at tro, at de har gjort det med succes, er en bemærkelsesværdig malware-persistensteknik,” kommenterede Malwarebytes. “Oven i købet er menneskeligt bedrag involveret: Lige da du troede, det var væk, er det der stadig stort set.”
Da teknikken fokuserer på at snyde brugere frem for sårbarheder eller fejl i iOS-platformen, er dette ikke noget, der kan rettes med en patch. ZecOps siger, at NoReboot-metoden påvirker alle versioner af iOS, og kun hardwareindikatorer kan hjælpe med at opdage denne form for angrebsteknik.
En videodemonstration kan findes nedenfor.
Tidligere og relateret dækning
Apple: Hvis man tvinger app-sideindlæsning, ville iPhones blive til virusudsatte “pocket-pc'er”
Apple er ikke glade for mængden af Mac-malware derude
Apple har lige rettet en sikkerhedsfejl, der gjorde det muligt for malware at tage skærmbilleder på Mac'er
Har du et tip? Kontakt os sikkert via WhatsApp | Signal på +447713 025 499 eller over på Keybase: charlie0
Apple | Sikkerheds-tv | Datastyring | CXO | Datacentre