Alerta para Usuários de iPhone: Especialistas Advertem sobre Ataque Sorrateiro de Falsa Modo de Bloqueio
6 de Dezembro de 2023

Uma nova "técnica de adulteração pós-exploração" pode ser abusada por atores maliciosos para enganar visualmente um alvo, fazendo-o acreditar que seu iPhone da Apple está em Modo de Segurança quando na verdade não está, e realizar ataques secretos.

O novo método, detalhado pelo Jamf Threat Labs em um relatório, mostra que, se um hacker já infiltrou seu dispositivo, ele pode fazer com que o modo de bloqueio seja 'burlado' quando você aciona sua ativação."

Em outras palavras, o objetivo é implementar o Falso Modo de Segurança em um dispositivo que foi comprometido por um atacante por outros meios, como falhas de segurança não corrigidas que podem desencadear a execução de código arbitrário.

O Modo de Segurança, apresentado pela Apple no ano passado com o iOS 16, é uma medida de segurança aprimorada que visa proteger indivíduos de alto risco de ameaças digitais sofisticadas, como spywares mercenários, minimizando a superfície de ataque.

O que ele não faz é impedir a execução de payloads maliciosos em um dispositivo comprometido, permitindo assim que um trojan implantado nele manipule o Modo de Segurança e dê aos usuários uma ilusão de segurança.

"No caso de um telefone infectado, não existem salvaguardas para impedir que o malware seja executado em segundo plano, seja o usuário ativando o Modo de Segurança ou não", disseram os pesquisadores de segurança Hu Ke e Nir Avraham.

O falso Modo de Segurança é realizado conectando funções que são acionadas ao ativar a configuração - por exemplo, setLockdownModeGloballyEnabled, lockdownModeEnabled e isLockdownModeEnabledForSafari - de modo a criar um arquivo chamado "/fakelockdownmode_on" e iniciar uma reinicialização de espaço do usuário, que encerra todos os processos e reinicia o sistema sem tocar no kernel.

Isso também significa que um malware implantado no dispositivo sem qualquer mecanismo de persistência continuará a existir mesmo após uma reinicialização desse tipo e espiará seus usuários secretamente.

"Enganando o usuário a acreditar que seu dispositivo está funcionando normalmente e que recursos de segurança adicionais podem ser ativados, o usuário está muito menos propenso a suspeitar de qualquer atividade maliciosa ocorrendo por trás das cenas", Michael Covington, vice-presidente de estratégia de portfólio da Jamf.

"isso é algo que não esperávamos que um recurso de segurança tão divulgado tivesse a interface do usuário separada da realidade de implementação."

Além disso, um adversário poderia alterar o Modo de Segurança no navegador Safari para tornar possível visualizar arquivos PDF, que normalmente são bloqueados quando a configuração está ativada.

"Desde o iOS 17, a Apple elevou o Modo de Segurança ao nível do kernel", disseram os pesquisadores.

"Essa mudança estratégica é um grande passo no aprimoramento da segurança, pois alterações feitas pelo modo de bloqueio no kernel normalmente não podem ser desfeitas sem passar por uma reinicialização do sistema, graças às mitigação de segurança existentes."

A revelação da Jamf chega quase quatro meses depois de ter demonstrado um outro método novo no iOS 16 que poderia ser abusado para voar sob o radar e manter o acesso a um dispositivo Apple enganando a vítima, fazendo-a pensar que o modo Avião do dispositivo está ativado.

"A pesquisa da Jamf sobre o Modo Avião Falso e o Modo de Segurança Falso explorou como as interfaces transmitem confiança e proporcionam aos usuários a garantia de que um dispositivo é seguro," disse Covington.

"Nossas descobertas mostram que as interfaces de usuário podem ser facilmente adulteradas."

"Seja um ataque de phishing entregue via HTTPS para enganar o usuário a pensar que um site é
'seguro' ou malware que engana o usuário a pensar que recursos de segurança como Modo Avião ou Modo de Segurança estão ativos, fica claro que o cenário de ameaças está mudando.

Vemos esses desenvolvimentos como uma evolução das técnicas de engenharia social e esperamos vê-los usados mais ativamente no futuro."

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...