Исследователи разработали новую технику, которая имитирует выключение или перезагрузку iPhone, предотвращая удаление вредоносных программ и позволяя хакерам тайно отслеживать микрофоны и получать конфиденциальные данные через активное сетевое соединение.
Исторически сложилось так, что когда вредоносное ПО заражает устройство iOS, его можно удалить, просто перезапустив устройство, что удаляет вредоносное ПО из памяти.
Однако этот метод перехватывает процедуры выключения и перезагрузки, чтобы предотвратить их появление, позволяя вредоносным программам сохранять постоянство, поскольку устройство никогда не выключается.
Поскольку в этой атаке, которую исследователи называют «NoReboot», не используются какие-либо недостатки iOS, а вместо этого используется обман на уровне человека, Apple не может ее исправить.
Имитация убедительной перезагрузки
Чтобы перезагрузить iPhone, нужно нажать и удерживать кнопку питания и любую кнопку регулировки громкости, пока не появится ползунок с параметром перезагрузки, а затем подождать примерно 30 секунд для завершения действия.
Когда iPhone выключен, его экран естественным образом гаснет, камера выключается, 3D-сенсорная обратная связь не реагирует на длительные нажатия, звуки звонков и уведомлений приглушены, а все вибрации отсутствуют.
Исследователи безопасности из ZecOps разработали троянский инструмент PoC (proof of concept), который может внедрять специально созданный код в три демона iOS, чтобы имитировать завершение работы, отключив все вышеперечисленные индикаторы.
Троян перехватывает событие выключения, перехватывая сигнал, отправленный на «SpringBoard» (демон взаимодействия с пользовательским интерфейсом).
Вместо ожидаемого сигнала троян отправит код, который заставит «SpingBoard» выйти, в результате чего устройство не будет реагировать на ввод пользователя. В данном случае это идеальная маскировка, потому что устройства, которые переходят в состояние выключения, естественно, больше не принимают вводимые пользователем данные.
Затем демон «BackBoardd» получает команду отобразить вращающееся колесо, которое указывает на то, что процесс завершения работы находится в процессе.
BackBoardd — еще один демон iOS, который регистрирует события нажатия физических кнопок и касаний экрана с отметками времени, поэтому злоупотребление им дает трояну возможность узнать, когда пользователь пытается «включить» телефон.
Наблюдая за этими действиями, можно обмануть пользователя, чтобы он отпустил кнопку раньше, чем предполагалось, что позволит избежать фактического принудительного перезапуска.
ZecOps описывает следующий шаг в атаке «NoReboot» следующим образом:
Файл запустит SpringBoard и вызовет специальный блок кода в нашем внедренном dylib. Он использует локальный доступ по SSH для получения привилегий root, затем мы выполняем / bin / launchctl reboot userspace.
Это завершит все процессы и перезапустит систему, не касаясь ядра. Ядро остается исправленным. Следовательно, у вредоносного кода не будет проблем с продолжением работы после такой перезагрузки. После перезапуска пользователь увидит эффект логотипа Apple.
Это также обрабатывается backboardd. После запуска SpringBoard, backboardd позволяет SpringBoard захватить экран.
Пользователь возвращается к обычному пользовательскому интерфейсу со всеми процессами и службами, работающими должным образом, без каких-либо указаний на то, что они только что прошли имитационную перезагрузку.
Компания Zecops создала видео, демонстрирующее технику NoReboot в действии, демонстрирующую, как с ее помощью можно легко обмануть любого и заставить думать, что его устройство выключено.
Никогда не верьте, что устройство полностью выключено
Apple представила новую функцию в iOS 15, позволяющую пользователям определять местонахождение своих iPhone с помощью функции «Найти меня», даже если они выключены.
Apple не стала объяснять, как именно это работает, но исследователи обнаружили, что это достигается за счет того, что чип Bluetooth LPM остается активным и работает автономно, даже когда iPhone выключен.
В то время как все взаимодействие пользователя с устройством отключено, чип Bluetooth продолжает сообщать о своем присутствии соседним устройствам, работая в режиме пониженного энергопотребления, хотя и с интервалами, превышающими 15 минут по умолчанию.
Это показывает, что нельзя полностью доверять устройству, даже если вы выключили телефон.
Аналогичным образом, метод «NoReboot» делает невозможным физическое определение того, выключен iPhone или нет, поскольку, по всей видимости, ваше устройство выключено.
Кроме того, разработчики вредоносных программ и хакеры теперь могут добиться устойчивости на устройствах iOS с помощью этого метода, когда обычная рекомендация перезапустить iPhone для удаления заражений больше не работает.
Последнее обновление 05.01.2023
