Von iOS 14, Apple fügte zwei einfache, aber sehr nützliche visuelle Signale zur State Bar hinzu: ein grüner Punkt, wenn die Kamera im Einsatz ist und ein oranger Punkt, wenn das Mikrofon aufgenommen wird. Die Idee war es, dem Benutzer eine sofortige Bestätigung zu geben, dass ein Sensor aktiv ist, eine Form des Grundschutzes gegen ungewollten Zugriff auf die Kamera und Audio des Telefons. Diese kleinen Lichter sind eine klare und schwierige Warnung zu ignorieren. aber Forscher haben gezeigt, dass sie für fortgeschrittene Bedrohungen nicht unfehlbar sind.
Der kommerzielle Spyware-Hersteller Intellexa, bekannt für sein Predator-Produkt und für die Verbindung mit Angriffen, die die Vorteile von Zero-Day-Versagen in verschiedenen Ökosystemen nutzten, entwickelten einen Mechanismus für diesen Indikator nicht eingeschaltet werden, auch wenn die Kamera oder Mikrofon verwendet wird. Es ist wichtig zu beachten, dass Predator gemäß der neuesten technischen Analyse nicht direkt eine Schwachstelle von iOS ausnutzt, um Licht zu neutralisieren; stattdessen arbeitet es von vor Zugriff auf die Kernelebene, die Ihnen erlaubt, Systemkomponenten zu ändern, die die Schnittstelle steuern.
Die von Jamf-Forschern veröffentlichte Analyse liefert die bisher deutlichste technische Beschreibung, wie diese Täuschung ausgeführt wird. Laut Jamf setzt Predator ein "Loch" - ein Abhör der Ausführung - in SpringBoard, den Prozess, der den Startbildschirm und die meisten der visuellen Elemente des Systems behandelt. Konkret erfasst Malware den Anruf iOS beim Ändern des Sensorstatus (z.B. wenn die Kamera oder das Mikrofon aktiviert ist) und verhindert, dass Informationen an das Teilsystem gelangen, das für das Zeichnen der Indikatoren auf der Statusleiste verantwortlich ist. Der Jamf post detailliert dieses Verhalten und dient als technische Referenz: Jamf-Analyse des Aufzeichnungsindikators Bypass.
Die Technik nutzt die Implementierung von Ziel-C in iOS: Eine der abgefangenen Funktionen lässt die Instanz, die die Aktivitätsdaten der Sensoren liefert (das Objekt, das als SBSensorActivityDataProvider bekannt ist). In Ziel-C wird das Senden einer Nachricht an eine Null-Referenz ruhig ignoriert, so dass SpringBoard nie Benachrichtigung verarbeitet, dass die Kamera oder Mikrofon aktiviert wurde und daher der grüne oder orange Punkt nicht erscheint. Es ist ein "oben" Eingriff in die Zustandsmeldekette: Beim Schneiden des Signals an dessen Ursprung wird verhindert, dass das System eine visuelle Spur zeigt. Für diejenigen, die die Object-C-Messaging-Dokumentation überprüfen möchten, unterhält Apple technische Informationen, wie Nachrichten an nil gesendet werden: Nachrichtenverhalten in Ziel-C.
Jamfs Arbeit fand auch inaktiven Code, der schien einen anderen Weg zu versuchen: den Indikatormanager direkt zu verknüpfen (SBRecordingIndicatorManager). Dieser Weg wurde offenbar von Spyware-Entwicklern zugunsten des Ansatzes verworfen, der mehr "upstream" wirkt und alle Sensoren zuverlässiger abdeckt. Ein weiteres interessantes Stück ist, dass das VoIP-Aufnahmemodul keinen eigenen Indikator-Löschmechanismus enthält, so dass es von der gleichen abfangenden Funktion abhängt, um das Geheimnis zu halten.
Um Zugriff auf die Kamera zu erhalten, ist Predator nicht auf die Verwendung von öffentlichen APIs beschränkt: Es verwendet Module, die interne Funktionen der Kamera durch die Anpassung von ARM64 Befehlsmustern und Umleitungsausführungen durch das Zeichnen von Maßnahmen wie dem Pointer Authentication Code (PAC). Diese fortschrittlichen Techniken ermöglichen es Ihnen, die konventionellen Berechtigungssteuerungen zu vermeiden Apple gilt für Apps. Die Verwendung von Pointer-Anweisungs- und Umleitungsmustern ist ein ausgeklügelter Mechanismus, der Kenntnisse der Hardware und des iOS-Binärs erfordert.
Obwohl die Vermeidung des Lichts der Aktivität vielleicht der markanteste Teil ist, zeigt die forensische Analyse andere Zeichen des Engagements, die Sicherheitsteams erkennen können: unerwartete Speicher-Mapping in kritischen Prozessen wie SpringBoard und Mediaserverd, ungewöhnliche Notfall-Ports, Breakpoint-basierte Haken und Audiodateien geschrieben durch Systemprozesse auf atypischen Routen. Jamf beschreibt diese Spuren und bietet Hinweise zum Nachweis in verwalteten Umgebungen.
Die Verbreitung erreichte die technische Presse und spezialisierte Seiten, die die praktischen Auswirkungen zusammenfassen. BleepingComputer beispielsweise sammelte die Forschung und kontaktierte Apple für Kommentare zu den Ergebnissen: Coverage in BleepingComputer. Apple, seinerseits, in iOS 14 eingeführt die Aufnahmesignale als Teil eines Pakets von Nachrichten, die auf die Privatsphäre und Sicherheit der Benutzer gerichtet sind; das Unternehmen beschreibt diese Verbesserungen durch Ankündigung iOS 14: iOS 14 und neue Datenschutzfunktionen.
Welche praktischen Schlussfolgerungen ergeben sich daraus für den durchschnittlichen Nutzer? Zuerst sind die Lichter in der State Bar eine nützliche, aber nicht unfehlbare Barriere für Akteure mit erweiterten Fähigkeiten und tiefen Zugriff auf das Gerät. Das realste Risiko kommt, wenn ein Angreifer bereits Low-Level (Kernel) Privilegien auf dem Team hat, denn von dort kann es das Verhalten des Systems in einer Weise verändern, dass ein einfaches Aussehen Update nicht beheben kann, wenn Persistenz nicht beseitigt wird. Zweitens hinterlassen Engagement-Signale oft technische Spuren, nach denen Management- und Verteidigungswerkzeuge suchen können und sollten; daher lesen und analysieren mobile Gerätemanagement-Unternehmen (MDM) und Notfall-Reaktionsteams Symptome wie ungewöhnlich kartierte Speicherprozesse oder kritische Service-Änderungen.
In Bezug auf die Vorbeugung ist die Beibehaltung des Systems auf dem neuesten Stand und die Anwendung von Patches erforderlich, kann aber nicht ausreichen, wenn bereits eine Privilegienexplosion durchgeführt wurde. Daher beste Praktiken bestehen durch die Kombination von regelmäßigen Updates, Managementrichtlinien und aktive Überwachung des Geräts und Vorsicht gegen unbekannte Links oder Dateien. Für Organisationen und Nutzer mit hohem Risiko ist die Verwendung von Managed-Detektionslösungen und professioneller forensischer Analyse bei Verdacht eine vernünftige Maßnahme.
Der Fall von Predator erinnert an die Komplexität des kommerziellen Überwachungs-Ökosystems. Während die Plattformen sichtbare und nützliche Datenschutzverbesserungen einführen, können Akteure, die in der Lage sind, auf Kernelebene zu arbeiten und interne Komponenten des Systems zu bearbeiten, Wege finden, diese Schutzmaßnahmen zu überwinden. Die Reaktion erfordert sowohl technische Maßnahmen von den Entwicklern von Betriebssystemen und öffentlichen Politiken, die den Verkauf und die Verwendung von Intrusionswerkzeugen regeln.
Wenn Sie in den ursprünglichen technischen Bericht gehen möchten, ist die Veröffentlichung von Jamf der beste Ausgangspunkt: detaillierte Analyse von Jamf. Für eine allgemeinere Lektüre der Nachrichten und deren Kontext enthält die Notiz in BleepingComputer die wichtigsten Punkte: Zusammenfassung in BleepingComputer. Schließlich, Apples Erklärung der Privatsphäre Verbesserungen in iOS 14 finden Sie in seiner offiziellen Veröffentlichung: iOS 14: Datenschutz.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...