Una nuova “tecnica di manomissione post-sfruttamento” può essere sfruttata da attori malevoli per ingannare visivamente un bersaglio facendogli credere che il loro iPhone Apple sia in Modalità di Blocco (Lockdown Mode), quando in realtà non lo è, permettendo così di eseguire attacchi occulti.
Dettagli della tecnica di inganno
Secondo un rapporto di Jamf Threat Labs condiviso con The Hacker News, se un hacker ha già infiltrato il dispositivo, può causare il “bypass” della Modalità di Blocco al momento della sua attivazione. L’obiettivo è implementare una Falsa Modalità di Blocco su un dispositivo compromesso attraverso altri mezzi, come falle di sicurezza non corrette che possono innescare l’esecuzione di codice arbitrario.
Modalità di Blocco di Apple
Introdotta da Apple l’anno scorso con iOS 16, la Modalità di Blocco è una misura di sicurezza avanzata volta a proteggere individui ad alto rischio da minacce digitali sofisticate come spyware mercenario, minimizzando la superficie di attacco. Tuttavia, non impedisce l’esecuzione di payload malevoli su un dispositivo compromesso, consentendo così a un trojan di manipolare la Modalità di Blocco e dare agli utenti un’illusione di sicurezza.
Funzionamento della Falsa Modalità di Blocco
La falsa Modalità di Blocco viene realizzata agganciando funzioni – come setLockdownModeGloballyEnabled, lockdownModeEnabled e isLockdownModeEnabledForSafari – che vengono attivate all’attivazione dell’impostazione, creando un file chiamato “/fakelockdownmode_on” e avviando un riavvio dello spazio utente, che termina tutti i processi e riavvia il sistema senza toccare il kernel. Ciò significa che un malware impiantato sul dispositivo senza alcun meccanismo di persistenza continuerà ad esistere anche dopo un riavvio di questo tipo e potrà spiare segretamente gli utenti.
Implicazioni per la Sicurezza
Un avversario potrebbe anche alterare la Modalità di Blocco sul browser web Safari per renderlo in grado di visualizzare file PDF, che altrimenti sarebbero bloccati quando l’impostazione è attivata. Da iOS 17, Apple ha elevato la Modalità di Blocco a livello di kernel, il che rappresenta un grande passo avanti nella sicurezza, poiché le modifiche apportate dalla Modalità di Blocco nel kernel tipicamente non possono essere annullate senza un riavvio del sistema.
Questa rivelazione di Jamf arriva dopo che aveva dimostrato un altro metodo innovativo su iOS 16 che poteva essere sfruttato per rimanere sotto il radar e mantenere l’accesso a un dispositivo Apple ingannando la vittima nel pensare che la Modalità Aereo del dispositivo fosse attivata, adesso c’è quella di blocco.