Spyware-ul Predator poate dezactiva indicatorii Apple care arată când microfonul și camera înregistrează pentru a ascunde activitatea de spionare a aplicației

Spyware-ul legat de supravegherea politicienilor și activiștilor din întreaga lume poate bloca indicatorii de înregistrare ai camerei și microfonului iOS, depășind o caracteristică cheie de securitate Apple, potrivit Forbes. Potrivit unui nou studiu, cercetătorii în securitate cibernetică au emis o nouă avertizare pentru utilizatorii iPhone, după ce au descoperit că spyware-ul Predator de la Intellexa poate suprima indicatorii de înregistrare ai camerei și microfonului.

Indicatorul portocaliu sau verde este o funcție esențială de confidențialitate

Începând cu iOS 14, Apple afișează un punct portocaliu sau verde pentru a indica momentul în care aplicațiile accesează camera sau microfonul. Această funcție esențială de confidențialitate are scopul de a avertiza utilizatorii cu privire la o potențială supraveghere. Însă spyware-ul comercial suprimă punctul portocaliu și verde al iPhone-ului prin interceptarea activității senzorului utilizat de sistemul de indicatori înainte ca acesta să ajungă la interfața telefonului, potrivit cercetărilor efectuate de Hu Ke și Nir Avraham la compania de securitate cibernetică Jamf.

Spyware-ul Predator de la Intellexa poate ascunde indicatorii de înregistrare iOS în timp ce transmite în secret fluxurile camerei și microfonului către operatorii săi. Spyware-ul are capacități puternice „zero-click” și poate infecta telefoanele fără implicarea proprietarului dispozitivului. În iulie 2023, Departamentul de Comerț al SUA a inclus compania-mamă Intellexa pe lista Entity List, o desemnare utilizată pentru a limita activitățile comerciale ale companiilor considerate un risc pentru securitatea națională. Deși capacitatea sa de a suprima indicatorii de activitate ai camerei și microfonului este cunoscută, nu era clar cum funcționează mecanismul.

Cum ascunde Predator înregistrarea

Malware-ul nu exploatează nicio vulnerabilitate iOS, ci utilizează accesul la nivel de kernel obținut anterior pentru a deturna indicatorii de sistem care altfel ar expune operațiunea sa de supraveghere, potrivit BleepingComputer. Cercetătorii de la compania de gestionare a dispozitivelor mobile Jamf au analizat mostre de Predator și au documentat procesul de ascundere a indicatorilor legați de confidențialitate.

Te-ar putea interesa și: De ce „șters” nu înseamnă dispărut: cum a recuperat poliția înregistrarea care nu trebuia să mai existe de pe camera Nest Doorbell de la Google

Potrivit Jamf, Predator ascunde toți indicatorii de înregistrare pe iOS 14 utilizând o singură funcție hook („HiddenDot::setupHook()”) și invocă metoda ori de câte ori se modifică activitatea senzorului la activarea camerei sau a microfonului. În dezvoltarea iOS și cercetarea în domeniul securității, hooking-ul este o tehnică utilizată pentru a intercepta și modifica comportamentul apelurilor de funcții, mesajelor sau evenimentelor dintr-o aplicație sau din sistemul de operare în sine.

Dezvoltatorii sau cercetătorii injectează cod personalizat într-un proces în execuție pentru a „agăța” („hook”) metode specifice (Objective-C sau Swift). Când aplicația apelează funcția originală, hook-ul interceptează execuția, ceea ce permite utilizatorului să înregistreze date, să inspecteze intrările/ieșirile sau să redirecționeze comportamentul funcției. Prin această interceptare, Predator împiedică actualizările activității senzorului să ajungă vreodată la stratul UI (user interface), astfel încât punctul verde sau roșu nu se aprinde niciodată.

„Metoda țintă _handleNewDomainData: este apelată de iOS ori de câte ori se modifică activitatea senzorului, camera se aprinde, microfonul se activează etc.”, explică cercetătorii Jamf. „Prin conectarea acestei singure metode, Predator interceptează TOATE actualizările de stare ale senzorului înainte ca acestea să ajungă la sistemul de afișare a indicatorilor.”

Hook-ul funcționează prin anularea obiectului responsabil pentru actualizările senzorului. Apelurile către un obiect nul sunt ignorate în mod silențios, astfel încât interfața nu procesează niciodată activarea camerei sau a microfonului și nu apare niciun indicator. În cazul înregistrărilor VoIP, pe care Predator le interceptează, modulul responsabil nu are un mecanism de suprimare a indicatorului, așa că se bazează pe funcția HiddenDot pentru camuflaj.

Jamf explică în continuare că accesul la cameră este activat printr-un modul separat care localizează funcțiile interne ale camerei utilizând potrivirea modelului de instrucțiuni ARM64 și redirecționarea codului de autentificare a pointerului (PAC) pentru a ocoli verificările de permisiune ale camerei. Fără indicatoare aprinse pe bara de stare, activitatea spyware-ului rămâne complet ascunsă pentru utilizatorul obișnuit.