Apple có thể đã giới thiệu các chỉ báo thanh trạng thái có màu sắc trong iOS 14 để cảnh báo người dùng khi camera hoặc micro đang hoạt động, nhưng các chuyên gia đã cảnh báo rằng điều này không ngăn chặn được tất cả phần mềm độc hại.
Phần mềm gián điệp do Intellexa và Cytrox phát triển, có tên gọi Predator, có thể hoạt động trên các thiết bị iOS bị xâm nhập mà không hiển thị bất kỳ dấu hiệu nào của camera hoặc micro.
Predator vô hiệu hóa chỉ báo bằng cách chặn các bản cập nhật hoạt động của cảm biến trước khi giao diện người dùng hệ thống hiển thị chúng, khiến người dùng không hề hay biết về hoạt động giám sát đang diễn ra.
Cách Predator vượt qua chỉ báo quyền riêng tư của iOS
Phần mềm độc hại này không khai thác lỗ hổng mới, mà yêu cầu quyền truy cập cấp nhân hệ điều hành đã có từ trước để can thiệp vào các tiến trình hệ thống.
Nghiên cứu mới từ Jamf Threat Labs đã chỉ ra cách phần mềm gián điệp vượt qua chỉ báo iOS bằng cách can thiệp vào tiến trình SpringBoard, cụ thể là nhắm mục tiêu vào phương thức _handleNewDomainData: bên trong lớp SBSensorActivityDataProvider.
Đoạn mã này vô hiệu hóa đối tượng chịu trách nhiệm truyền các bản cập nhật cảm biến đến giao diện người dùng, ngăn không cho các chấm màu xanh lá cây hoặc màu cam xuất hiện khi camera hoặc micro đang được sử dụng.
Các phương pháp trước đây, bao gồm cả việc kết nối trực tiếp với SBRecordingIndicatorManager, đã bị loại bỏ để thay thế bằng phương pháp can thiệp từ phía thượng nguồn này, vốn hiệu quả hơn và khó bị phát hiện hơn.
Predator bao gồm một số mô-đun xử lý các khía cạnh khác nhau của việc giám sát, chẳng hạn như mô-đun HiddenDot và mô-đun CameraEnabler.
Trong khi phương pháp thứ nhất loại bỏ các chỉ báo trực quan, phương pháp thứ hai bỏ qua việc kiểm tra quyền truy cập camera bằng cách sử dụng khớp mẫu lệnh ARM64 và chuyển hướng Mã xác thực con trỏ (PAC).
Điều này cho phép phần mềm độc hại xác định các chức năng nội bộ không được công khai và chuyển hướng thực thi mà không kích hoạt các cảnh báo bảo mật tiêu chuẩn của iOS.
Phần mềm gián điệp này cũng thu âm cuộc gọi VoIP thông qua một mô-đun riêng biệt. Không giống như HiddenDot, mô-đun ghi âm VoIP không trực tiếp tắt tín hiệu micro, mà dựa vào các kỹ thuật ẩn mình để không bị phát hiện.
Các mô-đun này có thể ghi dữ liệu âm thanh vào các đường dẫn bất thường và thao túng các quy trình hệ thống, khiến các phương pháp phát hiện tiêu chuẩn trở nên khó khăn.
Thiết kế của Predator làm phức tạp việc phát hiện vì nó chèn mã vào các tiến trình hệ thống quan trọng như SpringBoard và mediaserverd.
Nó dựa vào các hook dựa trên ngoại lệ Mach thay vì các hook nội tuyến thông thường, điều này khiến các phần mềm bảo vệ điểm cuối và tường lửa thông thường không đủ khả năng phát hiện hoạt động độc hại.
Các chỉ báo về hành vi, chẳng hạn như việc tạo tệp âm thanh bất thường hoặc cập nhật hoạt động cảm biến mà không kích hoạt thông báo trên giao diện người dùng, là những dấu hiệu quan trọng mà các chuyên gia bảo mật cần theo dõi.
Việc quan sát các ánh xạ bộ nhớ, cổng ngoại lệ và sự thay đổi trạng thái luồng trong các tiến trình hệ thống cũng có thể tiết lộ các dấu hiệu bị xâm phạm.
Predator cho thấy phần mềm gián điệp thương mại có thể sử dụng các công cụ trí tuệ nhân tạo và quyền truy cập cấp hệ thống để thực hiện hoạt động giám sát tinh vi trên các thiết bị iOS.
Người dùng và đội ngũ bảo mật cần hiểu rõ các kỹ thuật duy trì sự hiện diện mà Predator sử dụng và giám sát các thiết bị để phát hiện những bất thường nhỏ trong hoạt động của cảm biến.
