Добро пожаловать на борт iOS 16! Включите режим «В самолете», пока хакеры вас не опередили

Исследователи из лаборатории кибербезопасности Jamf Threat Labs выявили новый метод атаки на систему iOS 16. Этот метод позволяет злоумышленникам незаметно проникать в устройства Apple, имитируя режим «В самолете».

При активации режима сетевой интерфейс pdp_ip0, отвечающий за мобильные данные, перестает отображать IP-адреса, делая сотовую сеть недоступной большинству приложений. При этом сохраняется доступ для конкретных вредоносных сервисов.

Злоумышленники используют демон CommCenter. Он играет ключевую роль в управлении мобильной связью в iOS. Ядро операционной системы посредством колбэк-функции уведомляет CommCenter о том, что нужно показать пользователю всплывающее уведомление о переключении режима. Это приводит к активации системного компонента SpringBoard, который отвечает за отображение пуша на экране.

Ещё одна интересная особенность, обнаруженная исследователями, — это наличие SQL-базы данных внутри CommCenter. База регистрирует информацию о доступе каждого приложения (известного как bundle ID) к мобильным данным. Если доступ блокируется, для него устанавливается флаг со специфическим значением «8».

Проще говоря, алгоритм позволяет скрытно контролировать интернет-активность на устройстве, блокируя или разрешая доступ в интернет конкретным приложениям.

Имитация авиарежима — удобный инструмент для поддержки вредоносных сервисов, блокировки защитных механизмов, сбора пользовательских данных и развертывания других атак через зараженное устройство.

Сама компания Apple заявила, что в операционной системе не обнаружено уязвимостей, которые могли бы допустить такую активность.