Chiêu trò mới cho phép mã độc giả mạo tắt iPhone để cài gián điệp

Các nhà nghiên cứu đã tiết lộ một kỹ thuật mới mà phần mềm độc hại trên iOS có thể đạt được sự tồn tại lâu dài trên một thiết bị bị nhiễm bằng cách giả mạo quá trình tắt của nó, khiến không thể xác định thực tế là iPhone đang tắt hay không.

Phát hiện này được định danh là NoReboot - do công ty bảo mật di động ZecOps phát hiện ra rằng có thể chặn và sau đó mô phỏng hoạt động khởi động lại iOS, đánh lừa người dùng tin rằng điện thoại đã bị tắt nguồn trong khi thực tế là nó vẫn đang chạy.

Công ty có trụ sở chính tại San Francisco gọi nó là "ultimate persistence bug […]” không thể vá được vì nó không khai thác bất kỳ lỗ hổng bảo mật nào – mà chỉ sử dụng mánh khóe với con người.

NoReboot hoạt động bằng cách can thiệp vào các quy trình được sử dụng trong iOS để tắt và khởi động lại thiết bị, ngăn chặn hiệu quả việc chúng xảy ra ngay từ đầu và cho phép trojan hoạt động bền bỉ mà không liên tục vì thiết bị không bao giờ thực sự bị tắt.

Điều này được thực hiện bằng cách đưa mã được chế tạo đặc biệt vào ba trình nền iOS, cụ thể là InCallService, SpringBoard và Backboardd, để đóng giả bằng cách tắt tất cả các tín hiệu nghe nhìn liên quan đến thiết bị bật nguồn, bao gồm màn hình, âm thanh, rung, chỉ báo máy ảnh và phản hồi chạm.

Nói cách khác, ý tưởng thể hiện cho người dùng rằng thiết bị đã tắt mà không thực sự tắt bằng cách chiếm quyền điều khiển sự kiện được kích hoạt khi người dùng đồng thời nhấn và giữ nút bên cạnh và một trong các nút âm lượng, đồng thời kéo "trượt để tắt nguồn

Các nhà nghiên cứu giải thích: “Mặc dù chúng tôi đã vô hiệu hóa tất cả các phản hồi vật lý, nhưng điện thoại vẫn hoạt động đầy đủ và có khả năng duy trì kết nối internet đang hoạt động. "Kẻ độc hại có thể thao túng điện thoại từ xa một cách trắng trợn mà không lo bị bắt vì người dùng bị lừa nghĩ rằng điện thoại đang tắt, do nạn nhân tắt hoặc bị kẻ xấu sử dụng 'pin yếu' làm cái cớ . "

Sau đó, chủng phần mềm độc hại buộc SpingBoard, vốn đề cập đến giao diện người dùng đồ họa của iOS, thoát ra (trái ngược với toàn bộ hệ điều hành), tiếp theo là ra lệnh cho BackBoardd, trình nền xử lý tất cả các sự kiện chạm và nhấp vào nút vật lý, để hiển thị logo Apple nếu người dùng chọn bật lại điện thoại đang chạy, trong khi mã độc vẫn tiếp tục tồn tại

Hơn nữa, về mặt lý thuyết, kỹ thuật này có thể được mở rộng để thao tác lực khởi động lại liên quan đến iPhone bằng cách cố tình làm cho logo Apple xuất hiện sớm hơn vài giây khi một sự kiện như vậy được ghi lại qua Backboardd, đánh lừa nạn nhân nhả nút bên cạnh mà không thực sự. kích hoạt khởi động lại lực lượng.

Mặc dù không có phần mềm độc hại nào được phát hiện hoặc ghi nhận công khai cho đến nay bằng cách sử dụng phương pháp tương tự như NoReboot, nhưng phát hiện cho thấy rằng ngay cả quá trình khởi động lại iOS cũng không tránh khỏi việc bị tấn công khi kẻ thù có quyền truy cập vào thiết bị mục tiêu, một điều gì đó nằm trong tầm tay của các nhóm quốc gia-nhà nước và lính đánh thuê trên không gian mạng.

Hương