Spyware Predator od společnosti Intellexa dokáže na zařízeních s iOS skrývat indikátory nahrávání a přitom tajně streamovat obraz z kamery i zvuk z mikrofonu svým operátorům. Malware přitom nevyužívá žádnou zranitelnost iOS, ale spoléhá na dříve získaný přístup na úrovni jádra systému, pomocí něhož přebírá kontrolu nad systémovými indikátory, které by jinak jeho sledovací činnost prozradily.
Apple zavedl indikátory nahrávání ve stavovém řádku v iOS 14, aby uživatele upozornil na aktivní kameru nebo mikrofon – zobrazuje se zelená, respektive oranžová tečka. Společnost Intellexa, která je na sankčním seznamu USA, vyvinula komerční spyware Predator a nasazovala ho při útocích zneužívajících zero-day zranitelnosti v Apple a Chrome, ale také prostřednictvím infekčních mechanismů nevyžadujících žádnou interakci uživatele. Schopnost tohoto spywaru potlačit indikátory kamery a mikrofonu byla sice známá, způsob, jakým to funguje, však dosud nebyl objasněn.
Výzkumníci ze společnosti Jamf, která se zabývá správou mobilních zařízení, analyzovali vzorky spywaru Predator a zdokumentovali postup skrývání indikátorů ochrany soukromí. Podle jejich zjištění Predator skrývá všechny indikátory nahrávání v iOS 14 pomocí jediné hook funkce (HiddenDot::setupHook()) uvnitř SpringBoard, která se spouští pokaždé, když dojde ke změně aktivity senzorů – tedy při aktivaci kamery nebo mikrofonu. Jejím zachycením Predator zabrání tomu, aby se aktualizace aktivity senzorů vůbec dostaly do vrstvy uživatelského rozhraní, takže zelená ani červená tečka se nikdy nerozsvítí.
Hook funguje tak, že anuluje objekt zodpovědný za aktualizace senzorů (SBSensorActivityDataProvider ve SpringBoard). V jazyce Objective-C jsou volání na nulový objekt tiše ignorována, takže SpringBoard nikdy nezpracuje aktivaci kamery ani mikrofonu a žádný indikátor se nezobrazí. Protože SBSensorActivityDataProvider agreguje veškerou aktivitu senzorů, tento jediný hook deaktivuje indikátory kamery i mikrofonu zároveň.
Výzkumníci také nalezli „mrtvý kód“, který se pokoušel přímo zachytit SBRecordingIndicatorManager. Ten se však nespouští a pravděpodobně jde o dřívější vývojovou cestu, která byla opuštěna ve prospěch lepšího přístupu zachycujícího data senzorů na vyšší úrovni. V případě nahrávání VoIP hovorů, které Predator rovněž podporuje, příslušný modul mechanismus potlačení indikátorů postrádá, a proto se pro utajení spoléhá na funkci HiddenDot.
Jamf dále vysvětluje, že přístup ke kameře je umožněn prostřednictvím samostatného modulu, který vyhledává interní funkce kamery pomocí porovnávání vzorů instrukcí ARM64 a přesměrování Pointer Authentication Code (PAC), čímž obchází kontroly oprávnění kamery. Bez rozsvícených indikátorů ve stavovém řádku zůstává aktivita spywaru pro běžného uživatele zcela skrytá.
Zdroj: bleepingcomputer.com
