Les chercheurs en cybersécurité ont documenté une nouvelle technique de persistance post-exploit sur iOS 16 qui pourrait être exploitée pour voler sous le radar et accéder à un appareil Apple même lorsque la victime pense qu’il est hors ligne.
La méthode « fait croire à la victime que le mode avion de son appareil fonctionne alors qu’en réalité l’attaquant (à la suite d’un exploit d’appareil réussi) a planté un mode avion artificiel qui modifie l’interface utilisateur pour afficher l’icône du mode avion et coupe la connexion Internet à toutes les applications sauf l’application de l’attaquant. « , ont déclaré Hu Ke et Nir Avraham, chercheurs de Jamf Threat Labs, dans un rapport partagé avec The Hacker News.
Mode avioncomme son nom l’indique, permet aux utilisateurs de désactiver les fonctionnalités sans fil de leurs appareils, les empêchant ainsi de se connecter aux réseaux Wi-Fi, aux données cellulaires et au Bluetooth, ainsi que d’envoyer ou de recevoir des appels et des SMS.
L’approche conçue par Jamf, en un mot, donne l’illusion à l’utilisateur que le mode avion est activé tout en permettant à un acteur malveillant de maintenir furtivement une connexion au réseau cellulaire pour une application malveillante.
« Lorsque l’utilisateur active le mode avion, l’interface réseau pdp_ip0 (données cellulaires) n’afficheront plus les adresses IP ipv4/ipv6″, ont expliqué les chercheurs. « Le réseau cellulaire est déconnecté et inutilisable, du moins au niveau de l’espace utilisateur. »
Alors que les changements sous-jacents sont effectués par Centre de communicationles modifications de l’interface utilisateur (UI), telles que les transitions d’icônes, sont prises en charge par le SpringBoard.
Le but de l’attaque est donc de concevoir un mode avion artificiel qui conserve intactes les modifications de l’interface utilisateur, mais conserve la connectivité cellulaire pour une charge utile malveillante installée sur l’appareil par d’autres moyens.
« Après avoir activé le mode Avion sans connexion Wi-Fi, les utilisateurs s’attendraient à ce que l’ouverture de Safari n’entraîne aucune connexion à Internet », ont déclaré les chercheurs. « L’expérience typique est une fenêtre de notification qui invite l’utilisateur à » désactiver le mode avion « . »
Pour réussir la ruse, le démon CommCenter est utilisé pour bloquer l’accès aux données cellulaires pour des applications spécifiques et le déguiser en mode avion au moyen d’un fonction accrochée qui modifie la fenêtre d’alerte pour donner l’impression que le paramètre a été activé.
Il convient de noter que le noyau du système d’exploitation informe le CommCenter via une routine de rappel, qui, à son tour, informe le SpringBoard d’afficher la fenêtre contextuelle.
Un examen plus approfondi du démon CommCenter a également révélé la présence d’une base de données SQL utilisée pour enregistrer l’état d’accès aux données cellulaires de chaque application (alias bundle ID), avec un indicateur défini sur la valeur « 8 » si une application est bloquée. y accéder.
« En utilisant cette base de données d’ID de bundles d’applications installées, nous pouvons désormais bloquer ou autoriser sélectivement une application à accéder au Wi-Fi ou aux données cellulaires en utilisant le code suivant », ont déclaré les chercheurs.
« Lorsqu’il est combiné avec les autres techniques décrites ci-dessus, le faux mode avion semble maintenant agir comme le vrai, sauf que l’interdiction d’Internet ne s’applique pas aux processus non applicatifs tels qu’un cheval de Troie de porte dérobée. »