iPhone'da Gizlilik Alarmı: Predator Casus Yazılımı

Taraklı Ajans

iPhone'da Gizlilik Alarmı: Predator Casus Yazılımı Kamera ve Mikrofon Işıklarını Gizliyor

iPhone kullanıcılarının güvenliğini sağlamak amacıyla tasarlanan küçük yeşil ve turuncu noktalar, yeni bir araştırmaya göre artık tamamen güvenilir olmayabilir. Güvenlik raporları, Intellexa tarafından geliştirilen Predator casus yazılımının, ele geçirilmiş cihazlarda Apple'ın yerleşik kamera ve mikrofon göstergelerini bastırabildiğini ortaya koydu. Bu teknik, saldırganların derin sistem erişimi kazanmasının ardından, kullanıcıların kayıt faaliyetlerini anlamasını sağlayan görsel uyarıları sessizce devre dışı bırakmasına olanak tanıyor.

Jamf Araştırması: Predator Göstergeleri Nasıl Devre Dışı Bırakıyor?

Güvenlik kuruluşu Jamf'teki araştırmacılar, Predator örneklerini analiz ederek yazılımın Apple'ın kayıt göstergelerini nasıl baypas ettiğini gün yüzüne çıkardı. Apple, iOS 14 ile birlikte uygulamalar hassas sensörlere eriştiğinde kullanıcıları uyarmak için durum çubuğuna renkli göstergeler eklemişti. Yeşil nokta kamera kullanımını, turuncu nokta ise mikrofon aktivitesini temsil ediyordu.

Jamf'e göre Predator, iOS 14 üzerindeki tüm kayıt göstergelerini SpringBoard içindeki tek bir kanca fonksiyonu ('HiddenDot::setupHook()') kullanarak gizliyor. Bu yöntem, sensör aktivitesi her değiştiğinde (kamera veya mikrofon etkinleştirildiğinde) devreye giriyor ve sistemin arayüze güncelleme göndermesini engelleyerek durum çubuğunda hiçbir uyarının görünmemesini sağlıyor.

Yeni Bir iOS Açığı Değil, "Ele Geçirme Sonrası" Davranış

Jamf Threat Labs, yaptıkları çalışmanın yeni bir iOS güvenlik açığı keşfi olmadığını, halihazırda konuşlandırılmış ticari casus yazılımın (Predator) cihaz ele geçirildikten sonra nasıl çalıştığını belgeleyen bir analiz olduğunu belirtti. Bu yöntemin çalışması için cihazın kernel düzeyinde erişim dahil olmak üzere tam olarak ele geçirilmiş olması ve sistem süreçlerine kod enjekte edilebilmesi gerekiyor.

Tespit Etme Yöntemleri ve Teknik Detaylar

Analizler, Predator'un sensör aktivite güncellemelerini bastırmak için Objective-C "nil messaging" yöntemini kullandığını gösteriyor. Casus yazılım ayrıca VoIP aramalarını da kaydedebiliyor, ancak kamera ve mikrofon gizleme özelliğinin aksine, bu yetenek yerleşik bir gizlilik mekanizmasına sahip değil.

Gizlilik göstergeleri bastırılmış olsa bile, uzmanlar cihazın ele geçirildiğine dair bazı işaretlerin bulunabileceğini söylüyor. SpringBoard veya mediaserverd içindeki beklenmedik bellek eşlemeleri, kesme noktası tabanlı kancalar ve sistem süreçleri tarafından oluşturulan olağandışı ses dosyası yolları, kötü niyetli faaliyetlerin göstergesi olabilir.