Een nieuwe “post-exploitatie-manipulatietechniek” kan door kwaadwillende actoren worden misbruikt om een doelwit visueel te misleiden door te laten geloven dat hun Apple iPhone in de Lockdown-modus draait terwijl dat in werkelijkheid niet het geval is, en om geheime aanvallen uit te voeren.
De nieuwe methode, beschreven door Jamf Threat Labs in een rapport gedeeld met The Hacker News, “laat zien dat als een hacker je apparaat al heeft geïnfiltreerd, hij ervoor kan zorgen dat de Lockdown-modus wordt ‘omzeild’ wanneer je de activering ervan activeert.”
Met andere woorden, het doel is om de Fake Lockdown-modus te implementeren op een apparaat dat op andere manieren door een aanvaller is gehackt, zoals niet-gepatchte beveiligingsfouten die de uitvoering van willekeurige code kunnen veroorzaken.
De Lockdown-modus, vorig jaar door Apple geïntroduceerd met iOS 16, is een verbeterde beveiligingsmaatregel die tot doel heeft personen met een hoog risico te beschermen tegen geavanceerde digitale bedreigingen zoals huursspyware door het aanvalsoppervlak te minimaliseren.
Wat het niet doet, is de uitvoering van kwaadaardige payloads op een gecompromitteerd apparaat voorkomen, waardoor een trojan die erop wordt ingezet de Lockdown-modus kan manipuleren en gebruikers een illusie van veiligheid kan geven.
“In het geval van een geïnfecteerde telefoon zijn er geen voorzorgsmaatregelen om te voorkomen dat de malware op de achtergrond draait, ongeacht of de gebruiker de Lockdown-modus activeert of niet”, aldus beveiligingsonderzoekers Hu Ke en Nir Avraham.
De valse Lockdown-modus wordt bereikt door het hooken van functies – bijvoorbeeld setLockdownModeGloballyEnabled, lockdownModeEnabled en isLockdownModeEnabledForSafari – die worden geactiveerd bij het activeren van de instelling om zo een bestand te maken met de naam “/fakelockdownmode_on” en een herstart van de gebruikersruimte te initiëren, die alle processen beëindigt en de computer opnieuw opstart. systeem zonder de kernel aan te raken.
Dit betekent ook dat een stukje malware dat zonder enig persistentiemechanisme op het apparaat wordt geïmplanteerd, zal blijven bestaan, zelfs na een dergelijke herstart, en heimelijk de gebruikers ervan zal bespioneren.
Bovendien kan een tegenstander de Lockdown-modus in de Safari-webbrowser wijzigen om het mogelijk te maken PDF-bestanden te bekijken, die anders worden geblokkeerd wanneer de instelling wordt ingeschakeld.
“Sinds iOS 17 heeft Apple de Lockdown-modus naar kernelniveau verhoogd”, aldus de onderzoekers. “Deze strategische zet is een grote stap in het verbeteren van de beveiliging, omdat wijzigingen die door Lockdown Mode in de kernel worden aangebracht doorgaans niet ongedaan kunnen worden gemaakt zonder het systeem opnieuw op te starten, dankzij bestaande beveiligingsmaatregelen.”
De onthulling van Jamf komt bijna vier maanden nadat het een nieuwe methode op iOS 16 demonstreerde die kan worden misbruikt om onder de radar te vliegen en toegang te behouden tot een Apple-apparaat door het slachtoffer te laten denken dat de vliegtuigmodus van zijn apparaat is ingeschakeld.
