🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
O spyware Predator da Intellexa pode ocultar indicadores de gravação do iOS enquanto transmite secretamente imagens de câmera e microfone para seus operadores.
O malware não explora nenhuma vulnerabilidade do iOS, mas aproveita o acesso obtido anteriormente no nível do kernel para sequestrar indicadores do sistema que, de outra forma, exporiam sua operação de vigilância.
A Apple introduziu indicadores de gravação na barra de status do iOS 14 para alertar os usuários quando a câmera ou o microfone estão em uso, exibindo um ponto verde ou laranja, respectivamente.
A Intellexa, empresa de vigilância sancionada pelos EUA, desenvolveu o spyware comercial Predator e o distribuiu em ataques que exploraram falhas de dia zero da Apple e do Chrome e por meio de mecanismos de infecção sem clique.
Embora sua capacidade de suprimir indicadores de atividade de câmeras e microfones seja bem conhecida, não estava claro como o mecanismo funcionava.
Indicadores de ativação de câmera/microfone do iPhoneFonte: Jamf
Como o Predator esconde a gravação
Pesquisadores da empresa de gerenciamento de dispositivos móveis Jamf analisaram amostras do Predator e documentaram o processo de ocultação dos indicadores relacionados à privacidade.
De acordo com Jamf, o Predator oculta todos os indicadores de gravação no iOS 14 usando uma única função de gancho ('HiddenDot::setupHook()') dentro do SpringBoard, invocando o método sempre que a atividade do sensor muda (na ativação da câmera ou do microfone).
Ao interceptá-lo, o Predator evita que as atualizações da atividade do sensor cheguem à camada da interface do usuário, de modo que o ponto verde ou vermelho nunca acenda.
“O método de destino _handleNewDomainData: é chamado pelo iOS sempre que a atividade do sensor muda – a câmera é ligada, o microfone é ativado, etc.”, explicam os pesquisadores do Jamf.
“Ao conectar esse método único, o Predator intercepta TODAS as atualizações de status do sensor antes que elas cheguem ao sistema de exibição do indicador.”
Função direcionada ao SBSensorActivityDataProviderSource: Jamf
O gancho funciona anulando o objeto responsável pelas atualizações do sensor (SBSensorActivityDataProvider no SpringBoard). No Objective-C, as chamadas para um objeto nulo são ignoradas silenciosamente, de modo que o SpringBoard nunca processa a ativação da câmera ou do microfone e nenhum indicador aparece.
Como o SBSensorActivityDataProvider agrega todas as atividades do sensor, esse único gancho desativa os indicadores da câmera e do microfone.
Os pesquisadores também encontraram “código morto” que tentava conectar ‘SBRecordingIndicatorManager’ diretamente. No entanto, ele não é executado e provavelmente é um caminho de desenvolvimento anterior que foi abandonado em favor de uma abordagem melhor que intercepta os dados do sensor upstream.
No caso de gravações VoIP, que o Predator também suporta, o módulo responsável não possui um mecanismo de supressão de indicadores, por isso conta com a função HiddenDot para furtividade.
Jamf explica ainda que o acesso à câmera é ativado por meio de um módulo separado que localiza as funções internas da câmera usando a correspondência de padrões de instruções ARM64 e o redirecionamento do código de autenticação do ponteiro (PAC) para ignorar as verificações de permissão da câmera.
Sem indicadores acesos na barra de status, a atividade do spyware permanece completamente oculta para o usuário comum.
Jamf observa que a análise técnica revela sinais de processos maliciosos, como mapeamentos de memória inesperados ou portas de exceção no SpringBoard e no mediaserverd, ganchos baseados em pontos de interrupção e arquivos de áudio gravados pelo mediaserverd em caminhos incomuns.
BleepingComputer entrou em contato com a Apple com um pedido de comentário sobre as descobertas de Jamf, mas a empresa nunca respondeu.
O futuro da infraestrutura de TI está aqui
A infraestrutura de TI moderna se move mais rápido do que os fluxos de trabalho manuais podem suportar. Neste novo guia do Tines, saiba como sua equipe pode reduzir atrasos manuais ocultos, melhorar a confiabilidade por meio de respostas automatizadas e criar e dimensionar fluxos de trabalho inteligentes com base nas ferramentas que você já usa.
Obtenha o guia
O malware não explora nenhuma vulnerabilidade do iOS, mas aproveita o acesso obtido anteriormente no nível do kernel para sequestrar indicadores do sistema que, de outra forma, exporiam sua operação de vigilância.
A Apple introduziu indicadores de gravação na barra de status do iOS 14 para alertar os usuários quando a câmera ou o microfone estão em uso, exibindo um ponto verde ou laranja, respectivamente.
A Intellexa, empresa de vigilância sancionada pelos EUA, desenvolveu o spyware comercial Predator e o distribuiu em ataques que exploraram falhas de dia zero da Apple e do Chrome e por meio de mecanismos de infecção sem clique.
Embora sua capacidade de suprimir indicadores de atividade de câmeras e microfones seja bem conhecida, não estava claro como o mecanismo funcionava.
Indicadores de ativação de câmera/microfone do iPhoneFonte: Jamf
Como o Predator esconde a gravação
Pesquisadores da empresa de gerenciamento de dispositivos móveis Jamf analisaram amostras do Predator e documentaram o processo de ocultação dos indicadores relacionados à privacidade.
De acordo com Jamf, o Predator oculta todos os indicadores de gravação no iOS 14 usando uma única função de gancho ('HiddenDot::setupHook()') dentro do SpringBoard, invocando o método sempre que a atividade do sensor muda (na ativação da câmera ou do microfone).
Ao interceptá-lo, o Predator evita que as atualizações da atividade do sensor cheguem à camada da interface do usuário, de modo que o ponto verde ou vermelho nunca acenda.
“O método de destino _handleNewDomainData: é chamado pelo iOS sempre que a atividade do sensor muda – a câmera é ligada, o microfone é ativado, etc.”, explicam os pesquisadores do Jamf.
“Ao conectar esse método único, o Predator intercepta TODAS as atualizações de status do sensor antes que elas cheguem ao sistema de exibição do indicador.”
Função direcionada ao SBSensorActivityDataProviderSource: Jamf
O gancho funciona anulando o objeto responsável pelas atualizações do sensor (SBSensorActivityDataProvider no SpringBoard). No Objective-C, as chamadas para um objeto nulo são ignoradas silenciosamente, de modo que o SpringBoard nunca processa a ativação da câmera ou do microfone e nenhum indicador aparece.
Como o SBSensorActivityDataProvider agrega todas as atividades do sensor, esse único gancho desativa os indicadores da câmera e do microfone.
Os pesquisadores também encontraram “código morto” que tentava conectar ‘SBRecordingIndicatorManager’ diretamente. No entanto, ele não é executado e provavelmente é um caminho de desenvolvimento anterior que foi abandonado em favor de uma abordagem melhor que intercepta os dados do sensor upstream.
No caso de gravações VoIP, que o Predator também suporta, o módulo responsável não possui um mecanismo de supressão de indicadores, por isso conta com a função HiddenDot para furtividade.
Jamf explica ainda que o acesso à câmera é ativado por meio de um módulo separado que localiza as funções internas da câmera usando a correspondência de padrões de instruções ARM64 e o redirecionamento do código de autenticação do ponteiro (PAC) para ignorar as verificações de permissão da câmera.
Sem indicadores acesos na barra de status, a atividade do spyware permanece completamente oculta para o usuário comum.
Jamf observa que a análise técnica revela sinais de processos maliciosos, como mapeamentos de memória inesperados ou portas de exceção no SpringBoard e no mediaserverd, ganchos baseados em pontos de interrupção e arquivos de áudio gravados pelo mediaserverd em caminhos incomuns.
BleepingComputer entrou em contato com a Apple com um pedido de comentário sobre as descobertas de Jamf, mas a empresa nunca respondeu.
O futuro da infraestrutura de TI está aqui
A infraestrutura de TI moderna se move mais rápido do que os fluxos de trabalho manuais podem suportar. Neste novo guia do Tines, saiba como sua equipe pode reduzir atrasos manuais ocultos, melhorar a confiabilidade por meio de respostas automatizadas e criar e dimensionar fluxos de trabalho inteligentes com base nas ferramentas que você já usa.
Obtenha o guia
#samirnews #samir #news #boletimtec #spyware #predator #conecta #ios #springboard #para #ocultar #atividade #de #microfone #e #câmera
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário