Если iPhone уже заражен вредоносным ПО, Джамф показал, как злоумышленник может обманом заставить пользователя поверить в то, что режим блокировки активен, хотя на самом деле это не так.
Несмотря на распространенное мнение, iPhone могут быть заражены вредоносным ПО, но это случается редко. Злоумышленники, воспользовавшись уязвимостями нулевого дня и эксплойтами с нулевым щелчком мыши, могут заразить устройство пользователя, хотя эти сложные атаки часто являются дорогостоящими и трудными в исполнении.
Лаборатория угроз Jamf разработала метод проверки концепции после взлома, который заставляет iPhone вести себя так, как будто он находится в режиме блокировки, хотя это не так. Пользователь может переключить режим блокировки и увидит визуальные подсказки, такие как очевидный перезапуск устройства и предупреждения в Safari, которые создают у пользователя ложное чувство безопасности.
Это не недостаток режима блокировки, безопасности iPhone или операционной системы. Техника взлома работает только на устройствах, уже зараженных вредоносным ПО.
Джамф исследовал эту проверку концепции, чтобы подчеркнуть, что режим блокировки имеет ограничения. Это щит, который уменьшает поверхность атаки на устройстве iOS, а не антивирусное ПО, которое обнаруживает инфекции и удаляет их.
Режим блокировки наиболее эффективен при использовании на устройстве до того, как произойдет атака. Это уменьшает количество точек входа, доступных злоумышленнику.
Предупреждения сообщают пользователю, что режим блокировки активирован.
Перезагрузка системы может помочь остановить мониторинг пользователя вредоносным ПО, но Джамф нашел способ принудительно перезагрузить пользовательское пространство вместо перезагрузки системы. Таким образом, внедренный код может поддерживать адаптируемый контроль над режимом блокировки.
Режим блокировки выполняет несколько действий, большинство из которых невидимы для пользователя.
Сообщения. Большинство вложений к сообщениям заблокированы, а некоторые функции недоступны. FaceTime — входящие вызовы FaceTime от людей, которым вы ранее не звонили, блокируются. Просмотр веб-страниц — некоторые веб-технологии и функции просмотра заблокированы. Общие альбомы. Общие альбомы будут удалены из приложения «Фото», а новые приглашения в «Общие альбомы» будут заблокированы. Подключения устройства. Проводные соединения с другим устройством или аксессуаром блокируются, пока ваш iPhone заблокирован. Службы Apple. Входящие приглашения в службы Apple от людей, которых вы ранее не приглашали, блокируются. Профили — профили конфигурации, например профили для учебы или работы, установить невозможно.
Те, кто активирует режим блокировки, могут быть не знакомы со всем, что он делает, поэтому Джамф считает, что манипулирование лишь несколькими точками может обмануть пользователей и вызвать у них ложное чувство безопасности. Например, они изменили предупреждение в Safari, которое появляется, когда активен режим блокировки.
Режим блокировки в Safari
Как сообщалось ранее, этот метод взлома возможен только на iPhone, который уже заражен вредоносным ПО. Подобные сложные атаки слишком дороги, и их сложно осуществить без значительных ресурсов, поэтому обычным пользователям, не являющимся дипломатами или политическими журналистами, скорее всего, никогда не придется беспокоиться о таких угрозах безопасности.
При запуске Apple ясно дала понять, что режим блокировки предназначен для определенных категорий людей, подвергающихся высокому риску атак. Включение этой функции уменьшает доступный набор функций iPhone и может заставить пользователей думать, что их устройство сломано. Если вам понадобится его включить, вы узнаете.