Киберпреступники научились имитировать «безопасный» авиарежим на устройствах Apple.
Исследователи из лаборатории кибербезопасности Jamf Threat Labs выявили новый метод атаки на систему iOS 16. Этот метод позволяет злоумышленникам незаметно проникать в устройства Apple, имитируя режим «В самолете».
При активации режима сетевой интерфейс pdp_ip0, отвечающий за мобильные данные, перестает отображать IP-адреса, делая сотовую сеть недоступной большинству приложений. При этом сохраняется доступ для конкретных вредоносных сервисов.
Злоумышленники используют демон CommCenter. Он играет ключевую роль в управлении мобильной связью в iOS. Ядро операционной системы посредством колбэк-функции уведомляет CommCenter о том, что нужно показать пользователю всплывающее уведомление о переключении режима. Это приводит к активации системного компонента SpringBoard, который отвечает за отображение пуша на экране.
Ещё одна интересная особенность, обнаруженная исследователями, — это наличие SQL-базы данных внутри CommCenter. База регистрирует информацию о доступе каждого приложения (известного как bundle ID) к мобильным данным. Если доступ блокируется, для него устанавливается флаг со специфическим значением «8».
Проще говоря, алгоритм позволяет скрытно контролировать интернет-активность на устройстве, блокируя или разрешая доступ в интернет конкретным приложениям.
Имитация авиарежима — удобный инструмент для поддержки вредоносных сервисов, блокировки защитных механизмов, сбора пользовательских данных и развертывания других атак через зараженное устройство.
Сама компания Apple заявила, что в операционной системе не обнаружено уязвимостей, которые могли бы допустить такую активность.
Храним важное в надежном месте