Actores maliciosos pueden abusar de una nueva «técnica de manipulación post-explotación» para engañar visualmente a un objetivo haciéndole creer que su iPhone de Apple está funcionando en modo de bloqueo cuando en realidad no es así y llevar a cabo ataques encubiertos.
El novedoso método, detallado por Jamf Threat Labs en un informe compartido con The Hacker News, «muestra que si un hacker ya se ha infiltrado en su dispositivo, puede hacer que se ‘evite’ el modo de bloqueo cuando activa su activación».
En otras palabras, el objetivo es implementar el modo de bloqueo falso en un dispositivo que está comprometido por un atacante a través de otros medios, como fallas de seguridad sin parches que pueden desencadenar la ejecución de código arbitrario.
Aprenda a detectar amenazas internas con estrategias de respuesta de aplicaciones
Descubra cómo la detección de aplicaciones, la respuesta y el modelado de comportamiento automatizado pueden revolucionar su defensa contra amenazas internas.
Modo de bloqueopresentado por Apple el año pasado con iOS 16, es una medida de seguridad mejorada que tiene como objetivo proteger a las personas de alto riesgo de amenazas digitales sofisticadas, como el software espía mercenario por minimizando la superficie de ataque.
Lo que no hace es evitar la ejecución de cargas útiles maliciosas en un dispositivo comprometido, permitiendo así que un troyano implementado en él manipule el modo de bloqueo y brinde a los usuarios una ilusión de seguridad.
«En el caso de un teléfono infectado, no existen salvaguardas para evitar que el malware se ejecute en segundo plano, ya sea que el usuario active el modo de bloqueo o no», dijeron los investigadores de seguridad Hu Ke y Nir Avraham.
El modo de bloqueo falso se logra mediante funciones de enlace, por ejemplo, setLockdownModeGloballyEnabled, lockModeEnabled e isLockdownModeEnabledForSafari, que se activan al activar la configuración para crear un archivo llamado «/fakelockdownmode_on» e iniciar un reinicio del espacio de usuario, que finaliza todos los procesos y reinicia el sistema sin tocar el núcleo.
Esto también significa que un malware implantado en el dispositivo sin ningún mecanismo de persistencia seguirá existiendo incluso después de un reinicio de este tipo y espiará subrepticiamente a sus usuarios.
Es más, un adversario podría alterar el modo de bloqueo en el navegador web Safari para permitir ver archivos PDF, que de otro modo estarían bloqueados cuando la configuración está activada.
«Desde iOS 17, Apple ha elevado el modo de bloqueo al nivel del kernel», dijeron los investigadores. «Este movimiento estratégico es un gran paso para mejorar la seguridad, ya que los cambios realizados por el modo de bloqueo en el kernel generalmente no se pueden deshacer sin reiniciar el sistema, gracias a las mitigaciones de seguridad existentes».
La divulgación de Jamf llega casi cuatro meses después de que demostrara otro método novedoso en iOS 16 del que se podría abusar para pasar desapercibido y mantener el acceso a un dispositivo Apple engañando a la víctima haciéndole creer que el modo avión de su dispositivo está habilitado.