Шпионският софтуер Predator, разработен от санкционираната компания Intellexa, може да скрива зелената и оранжевата точка в iOS, които сигнализират, че камерата или микрофонът са активни — докато тайно предава аудио и видео към операторите си.

Без нова уязвимост – но с kernel достъп

Според анализ на компанията за управление на мобилни устройства Jamf, Predator не експлоатира нова уязвимост в iOS. Вместо това използва вече придобит kernel-level достъп, за да манипулира вътрешни системни механизми.

Apple въведе визуалните индикатори за запис в iOS 14 – зелена точка за камера и оранжева за микрофон – с цел повишаване на прозрачността при достъп до сензори.

Predator обаче успява да заобиколи тази защита.

Как работи прикриването

Jamf установява, че Predator използва една единствена hook-функция – HiddenDot::setupHook() – в системния процес SpringBoard, който управлява интерфейса на iOS.

Механизмът в резюме:

• iOS извиква метода _handleNewDomainData: при всяка промяна в състоянието на сензорите (активиране на камера/микрофон).

• Predator прихваща това извикване.

• Манипулира обекта SBSensorActivityDataProvider, който агрегира информацията за активността на сензорите.

• В Objective-C извиквания към null обект се игнорират без грешка.

• В резултат интерфейсът никога не получава сигнал за активиране на камера или микрофон.

• Индикаторът не светва.

Тъй като SBSensorActivityDataProvider обединява данни и за двата сензора, една hook-функция е достатъчна да деактивира и двата индикатора едновременно.

Допълнителни техники за прикриване

Изследователите откриват и неизползван („dead code“) опит за директно hook-ване на SBRecordingIndicatorManager, което вероятно е изоставен по-ранен подход.

За достъп до камерата Predator използва:

• ARM64 pattern matching за откриване на вътрешни функции

• Pointer Authentication Code (PAC) пренасочване

• Заобикаляне на permission проверките

При VoIP записите модулът няма собствен механизъм за потискане на индикатори, затова също разчита на HiddenDot функцията.

Следи, които остават

Въпреки че за обикновения потребител шпионската активност остава невидима, технически анализ може да разкрие:

• необичайни memory mappings в SpringBoard

• странни exception портове

• breakpoint-базирани hook-ове

• аудио файлове, записани от mediaserverd в нетипични директории

По-широк контекст

Predator е комерсиален шпионски инструмент, използван в атаки, включително чрез zero-day уязвимости в Apple и Chrome, както и чрез 0-click механизми.

Случаят показва важна тенденция:
Дори когато операционната система въвежда видими защитни механизми, шпиони с дълбок системен достъп могат да ги заобиколят, без да използват нови уязвимости.

Apple към момента не е коментирала публично констатациите на Jamf.