I dispositivi Apple godono da tempo di una solida reputazione per quanto riguarda la sicurezza e la tutela della riservatezza dei propri utenti, tuttavia le recenti scoperte dei ricercatori dell’azienda informatica Jamf dipingono uno scenario decisamente allarmante.
Lo spyware commerciale Predator, sviluppato dall’azienda di sorveglianza Intellexa (attualmente sanzionata dalle autorità statunitensi), si è dimostrato capace di aggirare uno dei meccanismi di allerta visiva più noti dei sistemi operativi di Cupertino.
Spyware Predator, ecco come si rende invisibile all’utente
A partire dalla versione iOS 14, l’azienda californiana ha introdotto degli indicatori luminosi sulla barra di stato, un puntino verde per la fotocamera e uno arancione per il microfono, pensati proprio per segnalare all’istante l’attivazione dei sensori.
Il software malevolo in questione riesce a nascondere completamente queste spie, trasmettendo di nascosto flussi audio e video ai suoi operatori senza destare il minimo sospetto.
Questa particolare abilità non deriva dallo sfruttamento di una vulnerabilità inedita del sistema operativo per occultare l’interfaccia, bensì dall’uso di un accesso ai privilegi di sistema più profondi, precedentemente ottenuto tramite altre falle o meccanismi di infezione estremamente sofisticati che non richiedono alcuna interazione da parte della vittima.
Gli esperti di sicurezza informatica hanno analizzato approfonditamente i campioni del malware per comprendere le complesse logiche di funzionamento alla base di questa invisibilità. La tecnica si fonda su una specifica funzione di aggancio software, inserita all’interno di SpringBoard, il componente fondamentale che gestisce la schermata iniziale e l’interfaccia utente dei dispositivi mobili Apple.
Il codice malevolo intercetta qualsiasi variazione dell’attività dei sensori ancor prima che l’informazione possa viaggiare verso il livello dell’interfaccia visibile sullo schermo. Nello specifico, il malware annulla la validità dell’oggetto responsabile della comunicazione degli aggiornamenti di stato.
Facendo in modo che il bersaglio di questi dati risulti nullo, il sistema operativo ignora in assoluto silenzio le chiamate che altrimenti accenderebbero le luci di avvertimento. Dal momento che questo singolo elemento aggrega tutte le comunicazioni sui sensori, la sua invisibile manipolazione spegne simultaneamente sia l’avviso della fotocamera sia quello del microfono.
Durante le indagini, i ricercatori hanno individuato anche porzioni di codice dismesso, segno di tentativi precedenti di disabilitare in maniera diretta il gestore visivo degli indicatori, una strada presumibilmente scartata a favore di questo approccio strutturale molto più furtivo ed efficace.
Tecniche avanzate per sfuggire al controllo
L’azione del malware non si limita al controllo diretto dell’hardware tradizionale, ma si estende anche alle registrazioni delle chiamate effettuate tramite protocolli internet.
Il modulo dedicato allo spionaggio delle comunicazioni VoIP non possiede un proprio sistema indipendente per sopprimere gli avvisi, pertanto si affida interamente alla funzione di occultamento principale per mantenere l’assoluta segretezza delle operazioni.
Per quanto riguarda l’accesso alla fotocamera, questo viene garantito da un ulteriore e separato componente che individua le istruzioni interne sfruttando tecniche avanzate di riconoscimento del codice e reindirizzamento dei puntatori di autenticazione, al fine di bypassare in blocco i rigorosi controlli sui permessi imposti da iOS.
Privato dei fondamentali avvisi luminosi sulla barra di stato superiore, l’utilizzatore del telefono rimane completamente all’oscuro della profonda sorveglianza in atto.
Solamente un’indagine tecnica approfondita sui registri del dispositivo può rivelare i segni dell’infezione, portando alla luce processi anomali nel sistema, scritture di file audio in percorsi insoliti o mappature di memoria ingiustificate per il normale funzionamento del terminale.
