2 月 20 日消息，安全機構(gòu) Jamf Threat Labs 今年 1 月發(fā)布報告，指出間諜軟件 Predator 已具備“隱身”功能，非法調(diào)用 iPhone 攝像頭或麥克風(fēng)后，可強制熄滅屏幕上的綠色或橙色隱私指示燈。

注：蘋果自 iOS 14 系統(tǒng)開始，引入了屏幕頂部的隱私指示燈（綠點代表攝像頭，橙點代表麥克風(fēng)），這被視為用戶判斷是否被偷拍偷錄的核心防線。

Jamf Threat Labs 的安全研究人員近日發(fā)現(xiàn)，商業(yè)間諜軟件 Predator 已經(jīng)攻破了這一防線。在 iPhone 遭受內(nèi)核級入侵后，該惡意軟件能通過特定技術(shù)手段，在惡意錄制期間熄滅這些指示燈，從而欺騙用戶以為設(shè)備處于安全狀態(tài)。

在技術(shù)實現(xiàn)方面，Predator 通過向 iOS 的系統(tǒng)界面管理器 SpringBoard 注入惡意代碼來實現(xiàn)“隱身”。

在正常機制下，當(dāng)傳感器啟動時，系統(tǒng)會向 SpringBoard 發(fā)送信號以點亮指示燈。Predator 則通過“掛鉤”（Hooking）技術(shù)攔截這一信號，并將其發(fā)送給一個空對象（nil）。

在 Objective-C 語言規(guī)則中，發(fā)往空對象的消息會被靜默忽略。因此，系統(tǒng)誤以為沒有發(fā)生錄制行為，指示燈自然不會亮起。

這種攻擊最危險之處在于其極高的隱蔽性。與早期惡意軟件可能導(dǎo)致手機發(fā)熱、卡頓或界面異常不同，被 Predator 感染的 iPhone 在外觀和功能上幾乎沒有任何異樣。

應(yīng)用正常啟動，通知照常推送，甚至電池續(xù)航也未必有明顯變化。用戶在毫無察覺的情況下，其對話和周邊環(huán)境可能已被秘密錄制并上傳。

援引博文介紹，這種攻擊手段屬于“后入侵行為”（Post-compromise），意味著黑客必須先通過零日漏洞或其他手段獲取設(shè)備的最高權(quán)限（內(nèi)核訪問權(quán)）才能實施。此類攻擊通常針對記者、政要等特定高價值目標，普通用戶通過 App Store 下載應(yīng)用遭遇此風(fēng)險的概率極低。

Jamf Threat Labs