El nuevo exploit de Apple iOS 16 permite el acceso celular sigiloso

Los investigadores de ciberseguridad han documentado una novedosa técnica de persistencia posterior a la explotación en iOS 16 que podría ser abusada para volar bajo el radar y el acceso principal a un dispositivo Apple, incluso cuando la víctima cree que está fuera de línea.

El método "engaña a la víctima para que piense que el modo avión de su dispositivo funciona cuando en realidad el atacante (después de un exploit exitoso del dispositivo) ha plantado un modo avión artificial que edita la interfaz de usuario para mostrar el icono del modo avión y corta la conexión a Internet a todas las aplicaciones, excepto a la aplicación atacante", dijeron los investigadores de Jamf Threat Labs Hu Ke y Nir Avraham en un informe compartido con The Hacker News.

El modo avión, como su nombre lo indica, permite a los usuarios desactivar las funciones inalámbricas en sus dispositivos, evitando efectivamente que se conecten a redes Wi-Fi, datos celulares y Bluetooth, así como que envíen o reciban llamadas y mensajes de texto.

El enfoque ideado por Jamf, en pocas palabras, proporciona una ilusión al usuario de que el modo avión está activado al tiempo que permite a un actor malicioso mantener sigilosamente una conexión de red celular para una aplicación maliciosa.

"Cuando el usuario activa el modo avión, la interfaz de red pdp_ip0 (datos celulares) ya no mostrará direcciones IP ipv4 / ipv6", explicaron los investigadores. "La red celular está desconectada e inutilizable, al menos a nivel de espacio de usuario".

Mientras que los cambios subyacentes son llevados a cabo por CommCenter, las modificaciones de la interfaz de usuario (UI), como las transiciones de iconos, son atendidas por el SpringBoard.


El objetivo del ataque, entonces, es diseñar un modo avión artificial que mantenga intactos los cambios de la interfaz de usuario, pero conserve la conectividad celular para una carga maliciosa instalada en el dispositivo por otros medios.

"Después de habilitar el modo avión sin una conexión Wi-Fi, los usuarios esperarían que abrir Safari resultara en que no hubiera conexión a Internet", dijeron los investigadores. "La experiencia típica es una ventana de notificación que solicita al usuario que 'Apague el modo avión'".

Para llevar a cabo el truco, el demonio CommCenter se utiliza para bloquear el acceso a datos celulares para aplicaciones específicas y disfrazarlo como Modo avión mediante una función enganchada que altera la ventana de alerta para que parezca que la configuración se ha activado.

Vale la pena señalar que el kernel del sistema operativo notifica al CommCenter a través de una rutina de devolución de llamada, que, a su vez, notifica al SpringBoard para mostrar la ventana emergente.

Un examen más detallado del demonio CommCenter también ha revelado la presencia de una base de datos SQL que se utiliza para registrar el estado de acceso a los datos celulares de cada aplicación (también conocido como ID de paquete), con una marca establecida en el valor "8" si una aplicación está bloqueada para acceder a ella.

"Usando esta base de datos de ID de paquetes de aplicaciones instaladas, ahora podemos bloquear o permitir selectivamente que una aplicación acceda a Wi-Fi o datos celulares utilizando el siguiente código", dijeron los investigadores.

"Cuando se combina con las otras técnicas descritas anteriormente, el falso modo avión ahora parece actuar como el real, excepto que la prohibición de Internet no se aplica a procesos que no son de aplicación, como un troyano de puerta trasera".

Fuente:No tienes permitido ver enlaces. Registrate o Entra a tu cuenta