Araştırmacılar, izleme için iPhone’un kapanmasını simüle etmek için yeni bir teknik yayınladı.
“NoReboot” olarak adlandırılan ZecOps kavram kanıtı, kötü amaçlı etkinliği bellekten temizlemek ve cihazda kalıcılık kazanmak için normal bir cihazı yeniden başlatma uygulamasını atlayabilen bir yöntem olarak tanımlanır.
Bu hafta sunulan bir analiz etmek ve halka açık bir depo GitHub, ZecOps, NoReboot Truva Atı’nın, telefon sahibini gözetlemek için mikrofon ve kameranın yeteneklerini gizlice ele geçirmeyi içerebilecek kötü amaçlı yazılımın işleyişi için koruma sağlarken gerçek bir cihaz kapatmayı simüle ettiğini söyledi.
Araştırmacılar, “Kullanıcı, gerçek bir kapatma ile “yanlış kapatma” arasındaki farkı hissedemez” diyor. “Kullanıcı telefonu tekrar “açana” kadar kullanıcı arayüzü veya düğme geri bildirimi yok.”
Teknik, üç arka plan programına kod enjekte ederek beklenen kapatma olayına neden olur: InCallService, SpringBoard ve backboardd.
Bir iPhone kapatıldığında, zil sesi veya ses, titreşim ve Apple logosunun ekrandaki görünümü gibi işlemin başarıyla tamamlandığını gösteren fiziksel göstergeler vardır. Ancak “fiziksel geri bildirimi” devre dışı bırakarak, kötü amaçlı yazılım, bir operatörle canlı bağlantı korunurken bir kapatma görünümü oluşturabilir.
ZecOps
Araştırmacılar, “Cihazı kapattığınızda, aslında bir sistem uygulaması /Applications/InCallService.app, kullanıcı arayüzü ile etkileşimin çoğundan sorumlu bir arka plan programı olan SpringBoard’a bir kapatma sinyali gönderir ”dedi. “Objective-C yöntemini kullanarak sinyali yönlendirmeyi başardık -[FBSSystemService shutdownWithOptions:]. Şimdi SpringBoard’a bir dur sinyali göndermek yerine, içine enjekte ettiğimiz kodu tetiklemek için hem SpringBoard’a hem de backboard’a haber verecek.”
Kapatma işlemini gösteren ekran daha sonra arka pano aracılığıyla ele geçirilebilir ve SpringBoard işlevi hem çıkmaya zorlanabilir hem de yeniden başlamaması için engellenebilir. ZecOps, SpringBoard’ın kontrolünü ele alarak hedef iPhone’un açılmamış gibi “görünebileceğini” ve bunun “mükemmel kılık” olduğunu söyledi.
Ancak, kullanıcılar yine de yeniden başlatmaya zorlama seçeneğine sahiptir. Arka panelin değiştirilmesi burada devreye giriyor: düğmelerin tutulduğu süre de dahil olmak üzere kullanıcı girdilerini izleyerek, örneğin daha önce Apple logosunu görüntüleyerek, gerçek bir yeniden başlatma gerçekleşmeden hemen önce bir yeniden başlatma simüle edilebilir.
“Kullanıcıların virüslü bir cihazı manuel olarak yeniden başlatmasını ve bunu başardığına inanmalarını engellemek, dikkate değer bir kötü amaçlı yazılım kalıcılık tekniğidir”, yorumlar kötü amaçlı yazılım baytları.
Teknik, iOS platformundaki güvenlik açıkları veya hatalardan ziyade kullanıcıları aldatmaya odaklandığından, bu davranış basit bir yama ile düzeltilmeyecektir. ZecOps, NoReboot yönteminin aşağıdakiler üzerinde bir etkisi olduğunu belirtir. tüm sürümler iOS ve yalnızca donanım göstergelerinin bu tür bir saldırı tekniğini tespit etmeye yardımcı olabileceği.
Aşağıda bir tanıtım videosu mevcuttur.
Kaynak: “ZDNet.com”