网络安全研究人员在iOS 16上记录了一种新颖的利用后持久性技术,该技术可能会被滥用,在雷达下飞行,并保持对苹果设备的访问,即使受害者认为该设备处于离线状态。
该方法“欺骗受害者认为其设备的飞行模式有效,而实际上攻击者(在成功利用设备后)已植入人造飞行模式,该模式编辑UI以显示飞行模式图标,并切断除攻击者应用程序之外的所有应用程序的互联网连接,”Jamf威胁实验室的研究人员胡科和尼尔·亚伯拉罕在与黑客新闻分享的一份报告中说。
飞行模式,顾名思义,允许用户关闭设备中的无线功能,有效地防止他们连接到Wi—Fi网络,蜂窝数据,蓝牙以及发送或接收电话和短信。
简而言之,由Jamf设计的方法给用户提供了一种飞行模式的错觉,同时允许恶意行为者偷偷地为流氓应用程序保持蜂窝网络连接。
研究人员解释说:“当用户打开飞行模式时,网络接口pdp_ip0(蜂窝数据)将不再显示ipv4/ipv6的IP地址。”“蜂窝网络已断开且无法使用,至少在用户空间级别上是这样。”
虽然底层的更改是由CommCenter执行的,但是用户界面(UI)的修改,比如图标转换,是由SpringBoard负责的。
因此,攻击的目标是设计一种人工飞机模式,使UI更改保持不变,但保留以其他方式传递和安装在设备上的恶意有效载荷的蜂窝连接性。
研究人员说:“在没有Wi-Fi连接的情况下启用了飞机模式之后,用户预计开放Safari将不会连接到互联网。”“典型的体验是一个通知窗口,提示用户‘关闭飞机模式’。”
为了摆脱诡计,CommCenter守护进程被用来阻止蜂窝数据访问特定的应用程序和伪装它作为飞行模式通过一个钩函数,改变了警报窗口,看起来像设置已被打开。
值得注意的是,操作系统内核通过一个回调例程通知CommCenter,该回调例程又通知SpringBoard显示弹出窗口。
CommCenter守护进程的仔细检查也揭示了SQL数据库的存在,用于记录每个应用程序的蜂窝数据访问状态(又名捆绑ID),与一个标志设置为值”8″如果一个应用程序被阻止访问它。
“使用这个已安装应用程序捆绑ID的数据库,我们现在可以选择性地阻止或允许应用程序访问Wi-Fi或蜂窝数据,”研究人员说。
“当与上述其他技术相结合时,假的飞行模式现在看起来就像真的一样,除了互联网禁令不适用于非应用程序进程,如后门木马。”
当达到发表评论,苹果告诉黑客新闻,攻击并不涉及操作系统中的一个特定的漏洞,它概述了一种方法,允许对手实现妥协后的持久性。