iPhone Kullanıcıları İçin Uyarı: Uzmanlar Sinsi Sahte Kilitleme Modu Saldırısı Konusunda Uyardı

Yeni bir "istismar sonrası kurcalama tekniği", kötü niyetli aktörler tarafından, bir hedefi Apple iPhone'larının gerçekte çalışmadığı halde Kilitleme Modunda çalıştığına inandırmak ve gizli saldırılar gerçekleştirmek için görsel olarak kandırmak için kötüye kullanılabilir.

Jamf Threat Labs tarafından paylaşılan bir raporda detaylandırılan yeni yöntem, "bir bilgisayar korsanı cihazınıza zaten sızmışsa, aktivasyonunu tetiklediğinizde Kilitleme Modunun 'atlanmasına' neden olabileceğini gösteriyor."

Başka bir deyişle amaç, rastgele kod yürütülmesini tetikleyebilecek yamalanmamış güvenlik kusurları gibi başka yollarla bir saldırgan tarafından güvenliği ihlal edilen bir cihaza Sahte Kilitleme Modu uygulamaktır.

Apple'ın geçen yıl iOS 16 ile tanıttığı Kilitleme Modu, saldırı yüzeyini en aza indirerek yüksek riskli bireyleri paralı casus yazılımlar gibi karmaşık dijital tehditlerden korumayı amaçlayan gelişmiş bir güvenlik önlemidir.

Yapmadığı şey, güvenliği ihlal edilmiş bir cihazda kötü amaçlı yüklerin yürütülmesini önlemek, böylece üzerine yerleştirilen bir truva atının Kilitleme Modunu manipüle etmesine ve kullanıcılara bir güvenlik yanılsaması vermesine izin vermektir.

Güvenlik araştırmacıları Hu Ke ve Nir Avraham, "Virüslü bir telefon söz konusu olduğunda, kullanıcı Kilitleme Modunu etkinleştirsin ya da etkinleştirmesin, kötü amaçlı yazılımın arka planda çalışmasını durduracak hiçbir güvenlik önlemi yoktur" dedi.

Sahte Kilitleme Modu, "/fakelockdownmode_on" adlı bir dosya oluşturmak ve tüm işlemleri sonlandıran ve çekirdeğe dokunmadan sistemi yeniden başlatan bir kullanıcı alanı yeniden başlatması için ayar etkinleştirildiğinde tetiklenen çengel işlevleriyle (örneğin, setLockdownModeGloballyEnabled, lockdownModeEnabled ve isLockdownModeEnabledForSafari) gerçekleştirilir.

Bu aynı zamanda, herhangi bir kalıcılık mekanizması olmadan cihaza yerleştirilen bir kötü amaçlı yazılım parçasının, bu tür bir yeniden başlatmanın ardından bile var olmaya devam edeceği ve kullanıcılarını gizlice gözetleyeceği anlamına gelir.

Dahası, bir saldırgan, ayar açıldığında engellenen PDF dosyalarını görüntülemeyi mümkün kılmak için Safari web tarayıcısındaki Kilitleme Modunu değiştirebilir.

Araştırmacılar, "iOS 17'den bu yana Apple, Kilitleme Modunu çekirdek düzeyine yükseltti" dedi. "Bu stratejik hamle, güvenliği artırmada büyük bir adımdır, çünkü çekirdekte Kilitleme Modu tarafından yapılan değişiklikler, mevcut güvenlik azaltmaları sayesinde sistem yeniden başlatılmadan genellikle geri alınamaz."

Jamf'in açıklaması, iOS 16'da radarın altında uçmak ve kurbanı cihazlarının Uçak Modunun etkinleştirildiğini düşünmesi için kandırarak bir Apple cihazına erişimi sürdürmek için kötüye kullanılabilecek başka bir yeni yöntem göstermesinden yaklaşık dört ay sonra geldi.