Di dunia malware seluler, mematikan perangkat sering kali dapat menghapus kode buruk apa pun, mengingat ketekunan setelah reboot merupakan tantangan bagi aktivitas jahat tradisional. Tetapi teknik iPhone baru dapat membajak dan mencegah proses mematikan apa pun yang dimulai oleh pengguna, mensimulasikan pemadaman listrik yang sebenarnya sambil membiarkan malware tetap aktif di latar belakang. bug persistensi,” menurut analisis ZecOps minggu ini. Perusahaan juga meluncurkan bukti konsep (PoC) yang menunjukkan cara menggunakan shutdown palsu untuk menyamarkan aktivitas mata-mata jarak jauh (lihat di bawah). dimatikan, tetapi pada kenyataannya, itu masih berjalan, ”jelas peneliti. “Pendekatan NoReboot mensimulasikan shutdown yang sebenarnya. Pengguna tidak dapat merasakan perbedaan antara shutdown nyata dan shutdown palsu. Tidak ada antarmuka pengguna atau umpan balik tombol apa pun sampai pengguna menghidupkan kembali ponsel… kita tidak dapat, dan tidak seharusnya, mempercayai reboot normal.”
Memalsukan iPhone Shutdown
Biasanya, pengguna mematikan iPhone mereka dengan menahan volume bawah dan tombol daya secara bersamaan, lalu geser penggeser “matikan” pada layar sentuh. Setelah itu, satu-satunya indikasi nyata bahwa telepon benar-benar mati adalah kenyataan bahwa layar tidak responsif dan tidak “bangun” ketika diketuk atau ketika tombol samping diklik; dan, tentu saja, panggilan, teks, dan pemberitahuan aplikasi berhenti.
Untuk mensimulasikan keadaan ini, NoReboot memulai dengan menyuntikkan kode ke tiga daemon yang bertanggung jawab untuk mengendalikan acara shutdown, menurut ZecOps: InCallService, SpringBoard dan backboardd.
“Saat Anda menggeser ke daya dimatikan, sebenarnya ini adalah aplikasi sistem /Applications/InCallService.app yang mengirimkan sinyal shutdown ke SpringBoard, yang merupakan daemon yang bertanggung jawab atas sebagian besar interaksi UI,” jelas para peneliti, dalam analisis. “Kami berhasil membajak sinyal dengan mengaitkan metode Objective-C -[FBSSystemService shutdownWithOptions:]. Sekarang alih-alih mengirim sinyal shutdown ke SpringBoard, itu akan memberi tahu SpringBoard dan backboardd untuk memicu kode yang kami masukkan ke dalamnya.”
Kode memaksa SpringBoard untuk keluar, juga memblokirnya agar tidak diluncurkan lagi.
“Karena SpringBoard bertanggung jawab untuk merespons perilaku dan interaksi pengguna, tanpa itu, perangkat terlihat dan terasa seolah-olah tidak menyala,” menurut ZecOps.
Pada titik ini, tidak ada indikasi fisik bahwa iPhone menyala, tetapi tetap sepenuhnya terjaga dan terhubung ke internet . Itu memungkinkan tipe jahat untuk melakukan apa yang mereka inginkan di perangkat tanpa takut ketahuan. Di ZecOps PoC, para peneliti dapat menguping pengguna uji melalui kamera dan mikrofon, semuanya saat telepon tampaknya dimatikan.
“Pada kenyataannya, pelaku jahat dapat melakukan apa pun yang dapat dilakukan pengguna akhir, dan banyak lagi, ” menurut analysis.
ZecOps’ PoC dapat ditemukan di GitHub, dan berikut adalah video demonya:
Dari perspektif praktis, para peneliti menunjukkan bahwa teknik ini dapat dibangun ke dalam malware yang dirancang untuk mendeteksi ketika pengguna mencoba mematikan teleponnya; atau malware dapat mensimulasikan status “baterai lemah” untuk digunakan sebagai alasan untuk “mematikan”.
Apa yang Terjadi saat iPhone Dinyalakan?
Saat pengguna menghidupkan kembali ponsel, rutinitas normalnya adalah logo Apple muncul saat telepon bangun.
NoReboot dapat mensimulasikan ini juga, untuk mempertahankan ilusi dan meyakinkan pengguna bahwa iPhone, memang, telah berhasil dimatikan dan kemudian dihidupkan ulang. Sekali lagi, ini dilakukan dengan membajak proses melalui injeksi kode.
“Ketika SpringBoard tidak bertugas, backboardd bertanggung jawab atas layar,” jelas peneliti. “[Ini] mencatat waktu yang tepat ketika sebuah tombol ditekan [untuk memulai ulang perangkat], dan ketika telah dilepaskan.”
NoReboot memotong proses ini, mereka mencatat: Peristiwa penekanan tombol direkam dan dimasukkan ke dalam objek kamus global ( BKEventSenderUsagePairDictionary). Penyisipan dapat dikaitkan menggunakan metode Objective-C.
“File akan melepaskan SpringBoard dan memicu blok kode khusus di dylib yang kami injeksikan,” menurut ZecOps. “Apa yang dilakukannya adalah memanfaatkan akses SSH lokal untuk mendapatkan hak akses root, lalu kita jalankan /bin/launchctl reboot userspace. Ini akan keluar dari semua proses dan memulai ulang sistem tanpa menyentuh kernel. Kernel tetap ditambal. Oleh karena itu, kode berbahaya tidak akan memiliki masalah untuk terus berjalan setelah reboot semacam ini.”
Apakah Ada Patch untuk NoReboot?
ZecOps Peneliti mencatat bahwa meskipun mereka menyebut masalah ini sebagai “bug persisten”, itu sebenarnya tidak dapat ditambal karena “itu tidak mengeksploitasi… bug sama sekali — hanya mempermainkan pikiran manusia.” Melalui Twitter, perusahaan mengatakan bahwa teknik ini bekerja pada setiap versi iPhone, dan untuk mencegahnya, Apple perlu membangun indikator berbasis perangkat keras untuk status tidur/bangun/mati iPhone.
Untuk melindungi diri mereka sendiri, pengguna iPhone harus menjalankan standar memeriksa malware dan aplikasi yang di-trojan, dan melakukan tindakan pencegahan pemeriksaan seperti biasa saat mendownload dan menginstal aplikasi baru.
Password Reset: Acara Sesuai Permintaan: Fortify 2022 dengan strategi keamanan sandi yang dibuat untuk ancaman saat ini. Meja Bundar Keamanan Threatpost ini, dibuat untuk para profesional infosec, berpusat pada pengelolaan kredensial perusahaan, dasar-dasar sandi baru, dan mengurangi pelanggaran pasca-kredensial. Bergabunglah dengan Darren James, dengan Specops Software dan Roger Grimes, penginjil pertahanan di KnowBe4 dan pembawa acara Threatpost Becky Bracken. Daftar & streaming sesi GRATIS ini hari ini – disponsori oleh Specops Software.
Tulis komentar
Bagikan artikel ini:
- iKeamanan Seluler