Исследователи обнаружили атаку, с помощью которой малварь для iOS может закрепляться на зараженном устройстве, имитируя процесс его выключения. В итоге невозможно опередить включен iPhone или нет, а вредонос получает возможность шпионить за жертвой.

Об атаке, получившей название NoReboot, рассказали специалисты ИБ-компании ZecOps. Они обнаружили, что могут  заблокировать устройство, а затем имитировать перезапуск iOS, при этом сохранив доступ для своего вредоносного ПО к зараженной системе. Этот крайне важно, так как в последние годы, в силу многочисленных изменений в iOS, малварь неспособна обеспечить постоянство загрузки и обычно не выдерживает перезагрузку.

NoReboot работает следующим образом: используется подключение к SpringBoard  (приложение Apple iOS UI, оно же Home Screen) и Backboardd  (демон, стоящий за SpringBoard) для обнаружения и перехвата команды перезагрузки телефона (например, посредством нажатия кнопки уменьшения громкости + кнопки питания). Затем происходит отключение SpringBoard UI вместо завершения работы ОС.

Это оставляет экран iPhone без пользовательского интерфейса, имитируя состояние выключенного устройства. Однако на самом деле iPhone по-прежнему включен. Чтобы устройство не звонило и не вибрировало, NoReboot отключает и такие функции, как обратная связь 3D Touch, светодиодные индикаторы камеры, а также вибрацию и звук для любых входящих вызовов или уведомлений.

Вместе с отчетом эксперты обнародовали PoC NoReboot, который также содержит поддельный загрузочный экран, чтобы создать полную иллюзию перезагрузки iOS.

Инженеры ZecOps подчеркивают, что метод NoReboot работает при обычных перезапусках устройства, но не работает при принудительных, которые происходят на аппаратном уровне, а не на программном.

«Мы не нашли простого способа скомпрометировать принудительный перезапуск. Это событие реализовано на гораздо более низком уровне», — пишут исследователи.

При этом в ZecOps предупреждают, что пользователям все равно не стоит чувствовать себя в безопасности, даже если они выполнят принудительный перезапуск. Так как событие принудительного перезапуска требует, чтобы пользователь быстро нажимал кнопки увеличения и уменьшения громкости несколько раз, а затем надолго зажал кнопку питания, злоумышленник может отследить и этот шаблон, заблокировать его до его завершения, а затем выполнить вместо него атаку NoReboot.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии