Une nouvelle « technique de falsification post-exploitation » peut être utilisée par des acteurs malveillants pour tromper visuellement une cible en lui faisant croire que son iPhone Apple fonctionne en mode verrouillage alors que ce n’est pas le cas et mener des attaques secrètes.
La nouvelle méthode, détaillée par Jamf Threat Labs dans un rapport partagé avec The Hacker News, « montre que si un pirate informatique a déjà infiltré votre appareil, il peut faire en sorte que le mode de verrouillage soit » contourné « lorsque vous déclenchez son activation. »
En d’autres termes, l’objectif est d’implémenter un faux mode de verrouillage sur un appareil compromis par un attaquant par d’autres moyens, tels que des failles de sécurité non corrigées pouvant déclencher l’exécution de code arbitraire.
Apprenez à détecter les menaces internes avec les stratégies de réponse des applications
Découvrez comment la détection des applications, la réponse et la modélisation automatisée du comportement peuvent révolutionner votre défense contre les menaces internes.
Mode de verrouillageintroduit par Apple l’année dernière avec iOS 16, est une mesure de sécurité renforcée qui vise à protéger les personnes à haut risque contre les menaces numériques sophistiquées telles que les logiciels espions mercenaires en minimiser la surface d’attaque.
Ce qu’il ne fait pas, c’est empêcher l’exécution de charges utiles malveillantes sur un appareil compromis, permettant ainsi à un cheval de Troie déployé dessus de manipuler le mode de verrouillage et de donner aux utilisateurs une illusion de sécurité.
« Dans le cas d’un téléphone infecté, aucune protection n’est en place pour empêcher le malware de s’exécuter en arrière-plan, que l’utilisateur active ou non le mode de verrouillage », ont déclaré les chercheurs en sécurité Hu Ke et Nir Avraham.
Le faux mode de verrouillage est réalisé en accrochant des fonctions – par exemple, setLockdownModeGloballyEnabled, LockdownModeEnabled et isLockdownModeEnabledForSafari – qui sont déclenchées lors de l’activation du paramètre afin de créer un fichier appelé « /fakelockdownmode_on » et de lancer un redémarrage de l’espace utilisateur, qui met fin à tous les processus et redémarre le système sans toucher au noyau.
Cela signifie également qu’un logiciel malveillant implanté sur l’appareil sans aucun mécanisme de persistance continuera d’exister même après un redémarrage de ce type et espionnera subrepticement ses utilisateurs.
De plus, un adversaire pourrait modifier le mode de verrouillage du navigateur Web Safari pour permettre la visualisation des fichiers PDF, qui seraient autrement bloqués lorsque le paramètre est activé.
« Depuis iOS 17, Apple a élevé le mode de verrouillage au niveau du noyau », ont déclaré les chercheurs. « Cette décision stratégique constitue une étape importante dans l’amélioration de la sécurité, car les modifications apportées par le mode de verrouillage au noyau ne peuvent généralement pas être annulées sans un redémarrage du système, grâce aux mesures d’atténuation de sécurité existantes. »
La divulgation de Jamf arrive près de quatre mois après avoir démontré une autre nouvelle méthode sur iOS 16 qui pourrait être utilisée pour passer inaperçue et maintenir l’accès à un appareil Apple en trompant la victime en lui faisant croire que le mode avion de son appareil est activé.