Ny forskning från Jamf threat labs har för första gången offentligt visat hur kommersiell spionprogramvara, specifikt predator, kan kringgå apples inbyggda indikatorer för kamera och mikrofon. Detta innebär att avancerade mobilhot i tysthet kan spela in användare utan att den gröna eller orangea punkten på skärmen visas.Predator utnyttjar kryphål i ios
Rapporten, som är en teknisk analys av spionprogrammet predator (utvecklat av intellexa/cytrox), bekräftar tidigare teoretiska antaganden om att Apples säkerhetssignaler kan inaktiveras. Analysen visar konkret hur skadlig programvara, efter att en enhet redan har blivit komprometterad, agerar för att dölja inspelningen.
– Det här handlar inte om en ny ios-sårbarhet eller något som kräver en säkerhetspatch från apple. Det är en malware-analys som visar hur redan installerad spionprogramvara fungerar efter att en enhet har komprometterats. Syftet med rapporten är att hjälpa försvarare att bättre förstå hotbilden och bygga starkare förmåga att upptäcka den här typen av attacker, säger adam boynton, enterprise strategy manager, emeia.Så blockeras indikatorerna
Predator använder en sofistikerad metod för att simultant blockera både kamera- och mikrofonvarningarna. Genom en enda teknisk manipulation stoppas sensordata innan den når användargränssnittet, vilket gör övervakningen fullständigt osynlig.
Dessutom manipuleras interna ios-objekt för att systemet ska ignorera förändringar i inspelningsstatus, vilket undviker felmeddelanden eller visuella signaler. Denna avancerade och modulära arkitektur pekar på ett välutvecklat hot, där inspelningsfunktionen för samtal förlitar sig på att indikatoravstängningen redan har aktiverats av en annan modul.Svårt att upptäcka för enskilda användare
Attackerna dokumenteras rikta sig mot privata ios-ramverk och använda avancerade arm64-tekniker för att i hemlighet få tillgång till kameran genom omdirigering av autentiserad kod. Detta gör upptäckten extremt svår för en vanlig användare. Företag uppmanas därför att ta en proaktiv hållning gällande mobilsäkerhet.
– Den här typen av attacker är extremt svåra att upptäcka för en enskild användare. Därför är det avgörande att företag arbetar proaktivt med säkerhet: håll operativsystem uppdaterade, begränsa behörigheter, undvik okända appar och länkar och framför allt – använd lösningar som kontinuerligt övervakar enheters beteende. It-team bör vara extra uppmärksamma på avvikande aktivitet, oväntad batteriförbrukning eller datatrafik, eftersom det kan vara tidiga tecken på komprometterade enheter, fortsätter adam boynton.
