在經過各方不斷的宣導與各種病毒威脅事件之後,終於讓用戶理解了世界上沒有真正安全的系統這件事情,即便是封閉系統的 iPhone 同樣也是如此,越來越多針對 iOS 的病毒印證了不肖人士的推陳出新。近日一隻名為「NoReboot」的病毒,用一種還算新鮮的方式侵犯你真實的隱私。
NoReboot 病毒偽裝 iPhone 關機,以劫持用戶的麥克風與鏡頭
由安全研究單位 ZecOps 所發現的 NoReboot 病毒,以模擬手機關機的方式為惡意軟體的運作打掩護,這可能包含劫持手機的麥克風和攝影鏡頭以監視手機持有人的日常。在病毒的操弄下,使用者一般情況下感覺不到真關機和假關機之間的區別,在你將手機「重新開機」之前,不會顯示任何使用者介面或按鈕與回應。
正常手機關機這個動作主要會連動 InCallService、SpringBoard 和 backboardd 三支程式,以呈現關機時的一切行為。當 iPhone 關機時,會有物理性的指示表明已經操作完成,例如鈴聲或聲音、震動以及螢幕上面出現的 Apple 圖樣,但是透過禁用物理回饋,惡意軟體可以呈現關機的樣子卻與遠端及時保持連接。
研究人員解釋道,當你滑動關閉電源的的圖示。實際上是一個名為 /Applications/InCallService.app 的應用程式向 SpringBoard 發送關閉信號,SpringBoard 則是一個負責大部分 UI 交互的程式。不肖人士劫持了訊號,讓它不是向 SpringBoard 發送關機信號,而是通知 SpringBoard 和 backboard,以觸發注入其中的程式碼。然後,指示關閉過程的轉圈圈可以通過 backboard 被劫持,並且 SpringBoard 功能可以強制退出並阻止再次重新啟動。ZecOps 表示,透過接管 SpringBoard,目標 iPhone 可以「看起來」和「感覺上」像它沒有打開一樣,這是模仿假關機的完美偽裝。
你可能會想,那我重新開機就好了啊!這就是惡意病毒篡改 backboard 進一步發揮作用的地方了。透過監控使 用者的輸入,包含按住按鈕的時間,可以在真正重新開機之前就模擬重新開機,例如透過提前顯示 Apple 標示來阻止用戶重新啟動被感染的手機。
由於該技術側重於欺騙使用者而不是利用 iOS 平台中的漏洞或錯誤,因此無法通過任何更新來修復,ZecOps 表示 NoReboot 的侵入方法會影響所有版本的 iOS,只有硬體檢測可以幫助發現這種形式的攻擊技術。
