Pesquisadores de cibersegurança documentaram uma nova técnica de persistência pós-exploração no iOS 16 que pode ser abusada para 'voar sob o radar' e manter o acesso a um aparelho Apple mesmo quando a vítima acredita que ele está offline.
O método "enganar a vítima fazendo-a pensar que o Modo Avião do seu dispositivo funciona, quando, na realidade, o agressor (após a exploração bem-sucedida do aparelho) plantou um Modo Avião artificial que edita a interface do usuário para exibir o ícone do Modo Avião e corta a conexão à internet de todas as aplicações, exceto a do atacante", disseram os pesquisadores do Jamf Threat Labs, Hu Ke e Nir Avraham, em um relatório compartilhado com The Hacker News.
Modo Avião, como o nome indica, permite que os usuários desativem os recursos sem fio em seus dispositivos, impedindo efetivamente que se conectem a redes Wi-Fi, dados celulares e Bluetooth, além de enviar ou receber chamadas e mensagens de texto.
A abordagem concebida pela Jamf, em suma, fornece uma ilusão ao usuário de que o Modo Avião está ativado, permitindo que um ator malicioso mantenha discretamente uma conexão de rede celular para uma aplicação desonesto.
"Quando o usuário liga o Modo Avião, a interface de rede pdp_ip0 (dados de celular) não exibirá mais endereços ip ipv4/ipv6", explicaram os pesquisadores.
"A rede celular é desconectada e inutilizável, pelo menos ao nível do espaço do usuário."
Enquanto as alterações subjacentes são realizadas pelo CommCenter, as modificações da interface do usuário (IU), como as transições dos ícones, são cuidadas pelo SpringBoard.
O objetivo do ataque, então, é conceber um Modo Avião artificial que mantém as alterações da IU intactas, mas mantém a conectividade celular para um payload malicioso entregue e instalado no aparelho por outros meio.
"Depois de ativar o Modo Avião sem uma conexão Wi-Fi, os usuários esperariam que abrir o Safari resultasse em nenhuma conexão com a internet", disseram os pesquisadores.
"A experiência típica é uma janela de notificação que solicita ao usuário para 'Desligar o Modo Avião.'"
Para realizar o engano, o CommCenter daemon é utilizado para bloquear o acesso a dados celulares para aplicativos específicos e disfarçá-los como Modo Avião, por meio de uma função que altera a janela de alerta para parecer que a configuração foi ativada.
Vale a pena notar que o kernel do sistema operacional notifica o CommCenter por meio de uma rotina de retorno de chamada, que, por sua vez, notifica o SpringBoard para exibir o pop-up.
Um exame mais detalhado do CommCenter daemon também revelou a presença de um banco de dados SQL que é usado para registrar o status de acesso a dados celulares de cada aplicativo (também conhecido como bundle ID), com um indicador definido como o valor "8" se um aplicativo é bloqueado de acessá-lo.
"Usando esse banco de dados de IDs do aplicativo instalado, podemos agora bloquear ou permitir seletivamente que um aplicativo acesse Wi-Fi ou dados celulares", disseram os pesquisadores.
"Quando combinado com as outras técnicas descritas acima, o falso Modo Avião agora parece agir exatamente como o real, exceto que a proibição da internet não se aplica a processos não aplicativos, como um trojan backdoor".
Quando questionada, a Apple disse ao The Hacker News que o ataque não se refere a uma vulnerabilidade específica no sistema operacional e que descreve um método que permite a um adversário alcançar a persistência pós-compromisso.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...