Siber güvenlik araştırmacıları, iOS 16’da yeni bir istismar sonrası kalıcılık tekniğini belgelediler.
Yöntem “kurbanı, cihazının Uçak Modunun çalıştığını düşünmesi için kandırıyor; gerçekte saldırgan (cihazın başarılı bir şekilde istismar edilmesinin ardından), Kullanıcı Arayüzünü Uçak Modu simgesini gösterecek şekilde düzenleyen ve saldırganın uygulaması dışındaki tüm uygulamalarla internet bağlantısını kesen yapay bir Uçak Modu yerleştirdiğinde” ,” Jamf Threat Labs araştırmacıları Hu Ke ve Nir Avraham, rapor The Hacker News ile paylaştı.
Uçak moduadından da anlaşılacağı gibi, kullanıcıların cihazlarındaki kablosuz özellikleri kapatmalarına olanak tanıyarak Wi-Fi ağlarına, hücresel verilere ve Bluetooth’a bağlanmalarının yanı sıra arama ve kısa mesaj gönderip almalarını etkili bir şekilde engeller.
Özetle, Jamf tarafından tasarlanan yaklaşım, kullanıcıya Uçak Modunun açık olduğu yanılsamasını sağlarken, kötü niyetli bir aktörün hileli bir uygulama için gizlice bir hücresel ağ bağlantısını sürdürmesine izin veriyor.
“Kullanıcı Uçak Modunu açtığında, ağ arabirimi pdp_ip0 (hücresel veriler) artık ipv4/ipv6 ip adreslerini göstermeyecek” diye açıkladı araştırmacılar. “Hücresel ağ bağlantısı kesildi ve en azından kullanıcı alanı düzeyine kadar kullanılamaz durumda.”
Altta yatan değişiklikler yapılırken İletişim Merkezisimge geçişleri gibi kullanıcı arabirimi (UI) değişiklikleri SpringBoard tarafından halledilir.
O halde saldırının amacı, UI değişikliklerini olduğu gibi tutan ancak başka yollarla cihaza gönderilen ve cihaza yüklenen kötü amaçlı bir yük için hücresel bağlantıyı koruyan yapay bir Uçak Modu tasarlamaktır.
Araştırmacılar, “Uçak Modu’nu Wi-Fi bağlantısı olmadan etkinleştirdikten sonra, kullanıcılar Safari’yi açmanın internet bağlantısının kesilmesine neden olmasını beklerler” dedi. “Tipik deneyim, kullanıcıdan ‘Uçak Modunu Kapat’ı isteyen bir bildirim penceresidir.”
Hileyi gerçekleştirmek için CommCenter arka plan programı, belirli uygulamalar için hücresel veri erişimini engellemek ve bunu bir aracılığıyla Uçak Modu olarak gizlemek için kullanılır. çengelli işlev ayar açılmış gibi görünmesi için uyarı penceresini değiştirir.
İşletim sistemi çekirdeğinin CommCenter’ı bir geri arama rutini yoluyla bilgilendirdiğini ve bunun da SpringBoard’u açılır pencereyi görüntülemesi için bilgilendirdiğini belirtmekte fayda var.
CommCenter arka plan programının daha yakından incelenmesi, her uygulamanın hücresel veri erişim durumunu (diğer bir deyişle paket kimliği) kaydetmek için kullanılan ve bir uygulamanın engellenmesi durumunda “8” değerine ayarlanmış bir bayrakla birlikte kullanılan bir SQL veritabanının varlığını da ortaya çıkardı. ona erişme
Araştırmacılar, “Yüklü uygulama paketi kimliklerinden oluşan bu veritabanını kullanarak artık bir uygulamanın Wi-Fi veya hücresel verilere erişmesini seçerek engelleyebilir veya izin verebiliriz” dedi.
“Yukarıda özetlenen diğer tekniklerle birleştirildiğinde, sahte Uçak Modu artık tıpkı gerçek gibi davranıyor, ancak internet yasağının arka kapı truva atı gibi uygulama dışı işlemler için geçerli olmaması dışında.”
Yorum için ulaşıldığında Apple, The Hacker News’e saldırının işletim sistemindeki belirli bir güvenlik açığıyla ilgili olmadığını ve bir rakibin uzlaşma sonrası sebat elde etmesine izin veren bir yöntemin ana hatlarını çizdiğini söyledi.
