- يخطف Predator مؤشرات الكاميرا والميكروفون التي تعمل بنظام iOS دون معرفة المستخدم أو موافقته
- يتيح الوصول على مستوى Kernel لـ Predator إدخال التعليمات البرمجية في عمليات نظام iOS الهامة
- يقوم برنامج Predator بقمع مؤشرات التسجيل المرئي مع الحفاظ على المراقبة المستمرة للأجهزة
ربما تكون شركة آبل قد أدخلت مؤشرات شريط الحالة الملونة في iOS 14 لتنبيه المستخدمين عندما تكون الكاميرا أو الميكروفون نشطًا، لكن الخبراء حذروا من أن هذا لا يوقف جميع البرامج الضارة.
يمكن لبرامج التجسس التي طورتها Intellexa وCytrox، والتي يطلق عليها اسم Predator، أن تعمل على أجهزة iOS المخترقة دون إظهار أي مؤشرات للكاميرا أو الميكروفون.
يتجاوز Predator المؤشر عن طريق اعتراض تحديثات نشاط المستشعر قبل أن تعرضها واجهة مستخدم النظام، مما يجعل المستخدمين غير مدركين للمراقبة المستمرة.
كيف يتجاوز Predator مؤشر خصوصية iOS
لا تستغل البرامج الضارة ثغرة أمنية جديدة، بل تتطلب الوصول إلى مستوى النواة الذي تم الحصول عليه مسبقًا لعمليات ربط النظام.
أوضح بحث جديد أجرته Jamf Threat Labs كيفية تجاوز برنامج التجسس لمؤشر iOS عن طريق ربط عملية SpringBoard، واستهداف طريقة _handleNewDomainData: داخل فئة SBSensorActivityDataProvider على وجه التحديد.
يؤدي هذا الخطاف الفردي إلى إبطال الكائن المسؤول عن تمرير تحديثات المستشعر إلى واجهة المستخدم، مما يمنع ظهور النقاط الخضراء أو البرتقالية عندما تكون الكاميرا أو الميكروفون قيد الاستخدام.
تم التخلي عن الطرق السابقة، بما في ذلك الروابط المباشرة إلى SBRecordingIndicatorManager، لصالح هذا الاعتراض المنبع، وهو أكثر كفاءة وأقل قابلية للاكتشاف.
يحتوي Predator على عدة وحدات تتعامل مع جوانب مختلفة من المراقبة، مثل وحدة HiddenDot ووحدة CameraEnabler.
في حين أن الأول يمنع المؤشرات المرئية، فإن الأخير يتجاوز عمليات التحقق من أذونات الكاميرا باستخدام مطابقة نمط تعليمات ARM64 وإعادة توجيه رمز مصادقة المؤشر، PAC.
يتيح ذلك للبرامج الضارة تحديد الوظائف الداخلية التي لم يتم الكشف عنها علنًا وإعادة توجيه التنفيذ دون تشغيل تنبيهات أمان iOS القياسية.
تلتقط برامج التجسس أيضًا صوت VoIP من خلال وحدة منفصلة. على عكس HiddenDot، لا تقوم وحدة تسجيل VoIP بقمع مؤشرات الميكروفون مباشرة، بل تعتمد على تقنيات التخفي لتظل دون أن يلاحظها أحد.
يمكن لهذه الوحدات كتابة البيانات الصوتية إلى مسارات غير عادية والتعامل مع عمليات النظام، مما يجعل أساليب الكشف القياسية صعبة.
يعمل تصميم Predator على تعقيد عملية الكشف لأنه يقوم بإدخال التعليمات البرمجية في عمليات النظام الهامة مثل SpringBoard وmediaserverd.
وهو يعتمد على الخطافات المستندة إلى استثناءات Mach بدلاً من الخطافات المضمنة التقليدية، مما يجعل برامج حماية نقطة النهاية وجدار الحماية النموذجية غير كافية لاكتشاف الأنشطة الضارة.
المؤشرات السلوكية، مثل إنشاء ملف صوتي غير متوقع أو تحديثات نشاط المستشعر التي تفشل في تشغيل إشعارات واجهة المستخدم، هي علامات رئيسية يجب على المدافعين مراقبتها.
يمكن أن تؤدي مراقبة تعيينات الذاكرة ومنافذ الاستثناء وتغييرات حالة مؤشر الترابط في عمليات النظام أيضًا إلى الكشف عن علامات التسوية.
يوضح برنامج Predator كيف يمكن لبرامج التجسس التجارية استخدام أدوات الذكاء الاصطناعي والوصول إلى مستوى النظام لإجراء مراقبة متطورة على أجهزة iOS.
يجب على المستخدمين وفرق الأمان فهم تقنيات الثبات التي يستخدمها Predator ومراقبة الأجهزة بحثًا عن الحالات الشاذة الدقيقة في نشاط المستشعر.
اتبع TechRadar على أخبار جوجل و أضفنا كمصدر مفضل للحصول على أخبار الخبراء والمراجعات والآراء في خلاصاتك. تأكد من النقر على زر المتابعة!
وبالطبع يمكنك أيضًا اتبع TechRadar على TikTok للحصول على الأخبار والمراجعات وفتح الصناديق في شكل فيديو، والحصول على تحديثات منتظمة منا على واتساب أيضاً.
التعليقات