Ricercatori nel campo della cybersecurity hanno documentato una tecnica innovativa su iOS 16 che potrebbe essere sfruttata per mantenere l’accesso a un dispositivo Apple anche quando la vittima crede che sia offline.
Dettagli della tecnica
Il metodo inganna la vittima facendole credere che la modalità aereo del suo dispositivo funzioni, quando in realtà l’attaccante, dopo un exploit riuscito, ha impostato una modalità aereo artificiale. Questa modifica l’interfaccia utente per mostrare l’icona della modalità aereo e interrompe la connessione internet per tutte le app, tranne quella dell’attaccante, come rivelato dai ricercatori Hu Ke e Nir Avraham di Jamf Threat Labs.
Modalità aereo e sua manipolazione
La modalità aereo, come suggerisce il nome, permette agli utenti di disattivare le funzionalità wireless dei loro dispositivi. L’approccio ideato da Jamf fornisce un’illusione all’utente che la modalità aereo sia attiva, mentre permette a un attore malevolo di mantenere segretamente una connessione di rete cellulare per un’applicazione dannosa.
Funzionamento dell’attacco
Quando un utente attiva la modalità aereo, l’interfaccia di rete non mostra più gli indirizzi IP ipv4/ipv6. Mentre le modifiche sottostanti sono gestite da CommCenter, le modifiche dell’interfaccia utente, come le transizioni delle icone, sono gestite da SpringBoard. L’obiettivo dell’attacco è creare una modalità aereo artificiale che mantenga le modifiche dell’UI ma conservi la connettività cellulare per un payload dannoso installato sul dispositivo.
Tecnica di inganno
Per realizzare l’inganno, il demone CommCenter viene utilizzato per bloccare l’accesso ai dati cellulari per app specifiche e mascherarlo come modalità aereo attraverso una funzione agganciata che modifica la finestra di avviso per farla sembrare attivata. Un esame più approfondito del demone CommCenter ha anche rivelato la presenza di un database SQL che registra lo stato di accesso ai dati cellulari di ogni app. Utilizzando questo database, è possibile bloccare o consentire selettivamente a un’app di accedere a Wi-Fi o dati cellulari.
Combinando le tecniche descritte, la falsa modalità aereo sembra funzionare esattamente come quella reale, con l’eccezione che il divieto di internet non si applica a processi non applicativi, come un trojan backdoor.