Araştırmacılar, iOS’taki kötü amaçlı yazılımın, bir iPhone’un kapalı olup olmadığını fiziksel olarak belirlemeyi imkansız kılan, kapatma sürecini taklit ederek virüslü bir cihazda kalıcılık sağlayabileceği yeni bir teknik açıkladı.
Keşif — dublajlı “Yeniden Başlatma Yok” — bir iOS yeniden başlatma işlemini engellemenin ve ardından simüle etmenin mümkün olduğunu bulan ve kullanıcıyı telefonun gerçekte hala çalışır durumdayken kapalı olduğuna inandırarak kandırmanın mümkün olduğunu bulan mobil güvenlik firması ZecOps’un izniyle geliyor.
San Francisco merkezli şirket aranan o “nihai kalıcılık hatası […] bu yama yapılamaz çünkü kalıcılık hatalarından hiçbir şekilde faydalanmaz – yalnızca insan zihniyle oyun oynar.”
NoReboot, cihazı kapatmak ve yeniden başlatmak için iOS’ta kullanılan rutinlere müdahale ederek, ilk etapta bunların olmasını etkili bir şekilde önleyerek ve cihaz aslında hiçbir zaman kapatılmadığı için bir truva atının kalıcılık olmadan kalıcılık elde etmesine izin vererek çalışır.
Bu, üç iOS arka plan programı olan InCallService’e özel hazırlanmış kod enjekte edilerek gerçekleştirilir. Sıçrama tahtası, ve arka tahta, ekran, sesler, titreşim, kamera göstergesi ve dokunmatik geri bildirim dahil olmak üzere açık bir cihazla ilişkili tüm görsel-işitsel ipuçlarını devre dışı bırakarak kapanıyormuş gibi yapmak için.
Başka bir deyişle, fikir, olayı ele geçirerek gerçekten kapatmadan cihazın kapatıldığı izlenimini vermektir. Aktif kullanıcı aynı anda yan düğmeye ve ses düğmelerinden birine basıp basılı tuttuğunda ve “kapatmak için kaydır” kaydırıcısını sürüklediğinde.
Araştırmacılar, “Tüm fiziksel geri bildirimleri devre dışı bırakmamıza rağmen, telefon hala tamamen işlevsel durumda ve aktif bir internet bağlantısını sürdürme yeteneğine sahip” dedi. “Kötü niyetli aktör, yakalanma endişesi duymadan telefonu bariz bir şekilde uzaktan manipüle edebilir, çünkü kullanıcı telefonun kapalı olduğunu düşünmeye kandırılır, ya kurban tarafından ya da kötü niyetli aktörler tarafından ‘düşük pil’ bahane edilerek kapatılır. “
Kötü amaçlı yazılım türü daha sonra iOS’un grafik kullanıcı arayüzüne atıfta bulunan SpingBoard’ı çıkmaya zorlar (tüm işletim sisteminin aksine), ardından Apple logosunu görüntülemek için tüm dokunma ve fiziksel düğme tıklama olaylarını yöneten arka plan programı olan BackBoardd’a komut verir. Kötü amaçlı kod devam ederken, kullanıcının çalışan telefonu tekrar açmayı seçmesi durumunda etki.
Dahası, bu teknik teorik olarak bir yeniden başlatmaya zorla Böyle bir olay Backboardd aracılığıyla kaydedildiğinde, kasıtlı olarak Apple logosunun birkaç saniye önce görünmesine neden olarak bir iPhone ile ilişkilendirilerek, kurbanı gerçekten zorla yeniden başlatmayı tetiklemeden yan düğmeyi bırakması için kandırır.
Şimdiye kadar hiçbir kötü amaçlı yazılım tespit edilmemiş veya NoReboot’a benzeyen bir yöntem kullanılarak kamuya açık olarak belgelenmemiş olsa da, bulgular, iOS yeniden başlatma sürecinin bile, bir düşman bir hedef cihaza eriştiğinde ele geçirilmeye karşı bağışık olmadığını vurgulamaktadır. hem ulus devlet grupları hem de siber paralı askerler.
Araştırmacılar, “Kalıcı olmayan tehditler, kalıcı istismarlar olmadan ‘kalıcılık’ sağladı” dedi. NoReboot’u gösteren bir kavram kanıtı (PoC) açığına GitHub aracılığıyla erişilebilir burada.
.
siber-2
