iPhone ви „гледа", без да свети зелена точка? Нов шпионски софтуер заобикаля защитите на iOS

Шпионският софтуер Predator може да заобиколи визуалните индикатори за камера и микрофон в iOS, позволявайки скрито наблюдение дори при включени стандартни защити за поверителност. Това показва анализ на специалистите от Jamf Threat Labs.

От iOS 14 насам устройствата на Apple използват цветни индикатори в лентата на състоянието – зелена или оранжева точка, които предупреждават, когато камерата или микрофонът са активни. Според експерти обаче тези сигнали не са достатъчни, за да спрат напреднали шпионски инструменти, пише TechRadar.

Predator – разработен от компаниите Intellexa и Cytrox – може да работи на вече компрометирани iOS устройства, без да показва никакви предупреждения за активност на сензорите. Софтуерът прихваща системните процеси още преди информацията за използване на камерата или микрофона да достигне до потребителския интерфейс, като по този начин „скрива“ наблюдението от собственика на телефона.

Според изследването зловредният код се свързва с ключовия процес SpringBoard – отговорен за управлението на началния екран на iOS. Чрез намеса в метода _handleNewDomainData: на класа SBSensorActivityDataProvider, Predator нулира обекта, който подава информация към интерфейса за активност на сензорите. Така зелените и оранжевите точки просто не се появяват, дори когато камерата или микрофонът се използват.

Софтуерът разполага с отделни модули за различни видове наблюдение. Например:

HiddenDot потиска визуалните индикатори;

CameraEnabler заобикаля проверките за достъп до камерата;

допълнителен VoIP модул позволява запис на разговори чрез алтернативни аудио пътища.

Predator инжектира код в критични системни процеси като SpringBoard и mediaserverd, използвайки т.нар. Mach exception hooks – техника, която затруднява откриването му от традиционните защитни решения.

Специалистите съветват екипите по сигурността да следят за поведенчески аномалии – като създаване на неочаквани аудио файлове или активност на сензори без съответните системни известия. Промени в картографирането на паметта или състоянието на системни нишки също могат да бъдат признак за компрометирано устройство.

Според експертите Predator е поредният пример как търговският шпионски софтуер може да използва системен достъп и усъвършенствани техники, за да извършва сложно и практически незабележимо наблюдение върху iOS устройства.