Investigadores en seguridad cibernética han registrado una innovadora técnica de persistencia post-explotación en iOS 16 que podría ser aprovechada para pasar desapercibida y mantener el acceso a un dispositivo de Apple, incluso cuando la víctima cree que está fuera de línea.
«El enfoque engaña al afectado haciéndole creer que el Modo Avión de su dispositivo funciona cuando en realidad el atacante (tras una exitosa explotación del dispositivo) ha implantado un Modo Avión falso que modifica la interfaz de usuario para mostrar el ícono del Modo Avión y corta la conexión a internet para todas las aplicaciones excepto la aplicación del atacante», señalaron los expertos de Jamf Threat Labs, Hu Ke y Nir Avraham.
El Modo Avión, como su nombre indica, permite a los usuarios desactivar las características inalámbricas de sus dispositivos, bloqueando efectivamente la conexión a redes Wi-Fi, datos celulares y Bluetooth, así como la realización de llamadas y el envío o recepción de mensajes de texto.
El método ideado por Jamf, en resumen, crea una ilusión para el usuario de que el Modo Avión está activado, al mismo tiempo que permite a un actor malicioso mantener en secreto una conexión a la red celular para una aplicación fraudulenta.
Aunque los cambios subyacentes son realizados por CommCenter, las modificaciones en la interfaz de usuario (UI), como las transiciones de los iconos, son gestionadas por SpringBoard.
El objetivo del ataque, por lo tanto, es crear un Modo Avión ficticio que mantenga los cambios en la interfaz de usuario pero conserve la conectividad celular para una carga maliciosa instalada en el dispositivo mediante otros medios.
Para llevar a cabo el engaño, se utiliza el daemon CommCenter para bloquear el acceso a los datos celulares de aplicaciones específicas y simular el Modo Avión mediante una función modificada que altera la ventana de alerta para que parezca que se ha activado la configuración.
Es importante señalar que el núcleo del sistema operativo notifica al CommCenter a través de una rutina de llamada de retorno, que a su vez notifica a SpringBoard para mostrar el mensaje emergente.
Un análisis más profundo del daemon CommCenter también ha revelado la existencia de una base de datos SQL que se emplea para registrar el estado de acceso a los datos celulares de cada aplicación (conocida como ID de paquete), con una señal configurada en el valor «8» si se bloquea el acceso de una aplicación.