Investigadores de seguridad cibernética han documentado una nueva técnica de persistencia posterior a la explotación en iOS 16 que podría abusarse para pasar desapercibida y acceder a un dispositivo Apple incluso cuando la víctima cree que está desconectado.
El método «engaña a la víctima para que piense que el modo avión de su dispositivo funciona cuando en realidad el atacante (después de una explotación exitosa del dispositivo) ha colocado un modo avión artificial que edita la interfaz de usuario para mostrar el icono del modo avión y corta la conexión a Internet de todas las aplicaciones excepto la aplicación del atacante. «, dijeron los investigadores de Jamf Threat Labs, Hu Ke y Nir Avraham, en un informe compartido con The Hacker News.
Modo avióncomo su nombre lo indica, permite a los usuarios desactivar las funciones inalámbricas en sus dispositivos, lo que les impide conectarse a redes Wi-Fi, datos móviles y Bluetooth, así como enviar o recibir llamadas y mensajes de texto.
El enfoque ideado por Jamf, en pocas palabras, brinda al usuario la ilusión de que el modo avión está activado, al tiempo que permite que un actor malicioso mantenga sigilosamente una conexión de red celular para una aplicación no autorizada.
«Cuando el usuario activa el modo avión, la interfaz de red pdp_ip0 (datos celulares) ya no mostrará direcciones IP ipv4/ipv6″, explicaron los investigadores. «La red celular está desconectada e inutilizable, al menos en el nivel del espacio del usuario».
Mientras que los cambios subyacentes son llevados a cabo por Centro de comunicacioneslas modificaciones de la interfaz de usuario (UI), como las transiciones de íconos, están a cargo del SpringBoard.
El objetivo del ataque, entonces, es diseñar un modo avión artificial que mantenga intactos los cambios de la interfaz de usuario, pero retenga la conectividad celular para una carga útil maliciosa instalada en el dispositivo por otros medios.
«Después de habilitar el Modo avión sin una conexión Wi-Fi, los usuarios esperarían que al abrir Safari no hubiera conexión a Internet», dijeron los investigadores. «La experiencia típica es una ventana de notificación que solicita al usuario que ‘Desactive el modo avión'».
Para llevar a cabo la artimaña, el demonio CommCenter se utiliza para bloquear el acceso a datos móviles para aplicaciones específicas y disfrazarlo como Modo avión por medio de un función enganchada que altera la ventana de alerta para que parezca que la configuración se ha activado.
Vale la pena señalar que el kernel del sistema operativo notifica al CommCenter a través de una rutina de devolución de llamada que, a su vez, notifica al SpringBoard para que muestre la ventana emergente.
Un examen más detallado del daemon de CommCenter también reveló la presencia de una base de datos SQL que se utiliza para registrar el estado de acceso a datos móviles de cada aplicación (también conocido como ID de paquete), con un indicador establecido en el valor «8» si una aplicación está bloqueada. accediendo a él.
«Usando esta base de datos de ID de paquetes de aplicaciones instaladas, ahora podemos bloquear o permitir selectivamente que una aplicación acceda a Wi-Fi o datos móviles usando el siguiente código», dijeron los investigadores.
«Cuando se combina con las otras técnicas descritas anteriormente, el Modo Avión falso ahora parece actuar como el real, excepto que la prohibición de Internet no se aplica a los procesos que no son de aplicación, como un troyano de puerta trasera».