Киберпреступники научились имитировать «безопасный» авиарежим на устройствах Apple

Исследователи из лаборатории кибербезопасности Jamf Threat Labs выявили новый метод атаки на систему iOS 16. Этот метод позволяет злоумышленникам незаметно проникать в устройства Apple, имитируя режим «В самолете».

При активации режима сетевой интерфейс pdp_ip0, отвечающий за мобильные данные, перестает отображать IP-адреса, делая сотовую сеть недоступной большинству приложений. При этом сохраняется доступ для конкретных вредоносных сервисов, пишет Securitylab.

Злоумышленники используют демон CommCenter. Он играет ключевую роль в управлении мобильной связью в iOS. Ядро операционной системы посредством колбэк-функции уведомляет CommCenter о том, что нужно показать пользователю всплывающее уведомление о переключении режима. Это приводит к активации системного компонента SpringBoard, который отвечает за отображение пуша на экране.

Ещё одна интересная особенность, обнаруженная исследователями, — это наличие SQL-базы данных внутри CommCenter. База регистрирует информацию о доступе каждого приложения (известного как bundle ID) к мобильным данным. Если доступ блокируется, для него устанавливается флаг со специфическим значением «8».

Проще говоря, алгоритм позволяет скрытно контролировать интернет-активность на устройстве, блокируя или разрешая доступ в интернет конкретным приложениям.

Имитация авиарежима — удобный инструмент для поддержки вредоносных сервисов, блокировки защитных механизмов, сбора пользовательских данных и развертывания других атак через зараженное устройство.

Сама компания Apple заявила, что в операционной системе не обнаружено уязвимостей, которые могли бы допустить такую активность.