Yüzbinlerce insan bu yaz arkalarına yaslanıp gevşeyip kalkışa hazırlanırken, birçoğu iPhone’larının uçak modu ayarını etkinleştirecek, bu sayede cihazlarının radyo frekansı (RF) iletim teknolojisi kapatılacak ve mobil ağlarıyla olan bağlantıları kesilecek. uçuş süresi boyunca.
Uçuş modu veya güvenli uçuş modu olarak da bilinen bu özellik, ilk kez yıllar önce, uçakları iletişim veya navigasyon sistemleriyle sözde parazitten korumak için bir güvenlik önlemi olarak tanıtıldı. Gerçekte, uçak güvenliğine yönelik bu bariz tehdit, birçok kişi tarafından biraz abartıldı ve kurallar artık eskisinden daha az katı, uçak içi Wi-Fi hizmetleri ise kullanılabilir hale geldi. Bununla birlikte, uçak modunu etkinleştirmek, uçuş öncesi rutinde önemli bir adım olmaya devam ediyor.
Bununla birlikte, Jamf Threat Labs’deki araştırmacılar, bir saldırganın kurbanının cihazında, kullanıcı çevrimdışı olduğuna inansa bile kalıcılığını sürdürmesini sağlayan bir istismar tekniğini keşfetti ve başarıyla gösterdi.
Vahşi doğada gözlemlenmemiş olan teknik, varsayımsal bir tehdit aktörü tarafından yapay bir uçak modu “deneyiminin” başarılı bir şekilde yaratılmasına dayanır; bu sayede cihaz çevrimdışıyken görünür.
Sonuç olarak, Jamf tarafından bir araya getirilen açıklardan yararlanma zinciri, saldırgan tarafından kontrol edilen süreçlerin arka planda kontrolsüz ve gözlemlenmeden çalışabileceği bir duruma yol açar ve cihazın sahibi hiçbir şeyin ters gittiğinden habersizdir.
Jamf’in stratejiden sorumlu başkan yardımcısı Michael, “Jamf Threat Labs, saldırgan tekniklerini çeşitli bakış açılarından rutin olarak araştırıyor, böylece müşterilerimizin savunma duruşunu nihai olarak geliştirebiliyor ve iş yerinde kullanılan Apple cihazlarını savunmaktan sorumlu profesyonellerden oluşan bir topluluk oluşturabiliyoruz” dedi. Covington.
“Sahte uçak modu söz konusu olduğunda, araştırmacılarımız bir mobil cihazda ‘mümkün olan sanatı’ keşfediyorlardı” dedi. “Saldırganın, kullanıcı cihazın çevrimdışı modda olduğuna inandığında bile bağlantıyı koruyabildiği bir istismarı simüle edip edemeyeceklerini görmek istediler. Bence sonuç, saldırganın cihaz üzerinde çalışırken izlerini gizlemesine izin veren çok zekice bir görsel hack oldu.”
Nasıl çalışır
iOS aygıtlarda, iki arka plan programı uçak moduna geçmekle görevlendirilir – kullanıcı arayüzündeki (UI) görünür değişiklikleri yöneten SpringBoard; ve temel ağ arabirimini çalıştıran ve kullanıcıların belirli uygulamalar için mobil veri erişimini engellemesine olanak tanıyan bir özelliği yöneten CommCentre.
Normal koşullar altında, uçak modu etkinleştirildiğinde, mobil veri arabirimi artık IPv4 veya 6 IP adresi göstermez ve mobil ağ bağlantısı kesilir ve kullanıcı alanı düzeyinde kullanılamaz.
Ancak JAMF’ın ekibi, hedef cihazın konsol günlüğünün ilgili bölümünü bulmayı başardı ve buradan, ona başvuran kodu bulmak için “#N Kullanıcı uçak modu tercihi kFalse’den KTrue’a değişiyor” şeklinde belirli bir dizi kullandı.
Oradan, cihazın koduna başarıyla eriştiler ve bağlayıp işlevi boş veya hiçbir şey yapma işleviyle değiştirdiler. Bu şekilde, cihazın fiilen bağlantısının kesilmediği ve internet erişiminin sürdürüldüğü sahte bir uçak modu oluşturabildiler..
Daha sonra, mobil bağlantı simgesini karartacak ve kullanıcının kapalı olduğunu düşünmesini sağlayacak ve uçak modu simgesini (bir piktogram) vurgulayacak şekilde ayarlayan küçük bir kod parçası enjekte etmek için iki farklı Objective-C yöntemini bağlayarak kullanıcı arayüzünün peşinden gittiler. bir uçak).
Görünüşe göre uçak modu açıkken, varsayımsal kurban, bu noktada makul bir şekilde, Safari’yi açarlarsa, uçak modunu kapatmalarını veya verilere erişmek için bir Wi-Fi ağı kullanmalarını isteyen standart bir bildirim alacaklarını varsayacaktır.
Bununla birlikte, aslında hala çevrimiçi olduklarından, Safari’nin kablosuz verileri WLAN veya mobil veya yalnızca WLAN aracılığıyla kullanmasına izin vermelerini isteyen farklı bir istem görürler, bu da bir şeylerin ters gittiğine dair bir ipucu olur.
Açıklardan yararlanma zincirinin çalışması için Jamf ekibi bu sorunun ele alınması gerektiğini biliyordu ve bu nedenle, mobil verileri engellemek için CommCenter özelliğini kullanarak kullanıcıya mobil veri hizmetleriyle bağlantısının kesildiği izlenimini verebilecekleri bir yöntem geliştirdiler. belirli uygulamalara erişin ve başka bir işlevi bağlayarak onu uçak modu olarak gizleyin.
Bu şekilde, kullanıcıya, görmesi gereken istemin aksine, uçak modunu kapatma isteminin sunulduğu bir durum yarattılar.
Uçak modunu fiilen açmadan Safari için internet bağlantısını kesmek için ekip, kendisi kayıtlı bir gözlemci aracılığıyla cihaz çekirdeği tarafından bildirilen CommCenter tarafından bildirilmesinin ardından “uçak modunu kapat” bildirimini isteyen SpringBoard özelliğini kullandı. / geri arama işlevi.
Oradan, ekip CommCenter’ın ayrıca her uygulamanın mobil veri erişim durumunu kaydeden ve mobil verilere erişimi engellenirse her birine belirli bir bayrak atayan bir SQL veritabanı dosyasını yönettiğini buldu. Bundan, uygulama paketi kimliklerinin bir listesini okuyabilir ve önceden ayarlanmış değerlerini alabilir, ardından bir uygulamanın Wi-Fi veya mobil verilere erişmesini seçerek engelleyebilir veya izin verebilirler.
İstismar zinciri
Covington, Computer Weekly’ye verdiği demeçte, tüm bunları bir araya getiren ekibin, uygulama dışı süreçlerin mobil verilere erişebilmesi dışında, kurbana sahte uçak modunun tıpkı gerçek modda çalıştığı gibi göründüğü bir açıklardan yararlanma zincirini etkili bir şekilde oluşturduğunu söyledi. .
“Kullanıcı arayüzünün bu şekilde hacklenmesi, cihazı kullanıcının beklentilerine aykırı bir duruma getirerek saldırganın hareketini gizliyor” dedi. “Bu, hiç kimsenin video kaydından veya canlı bir mikrofonun sesi yakaladığından şüphelenmeyeceği bir zamanda, bir saldırganın kullanıcıyı ve çevresini gözetlemesine olanak sağlayabilir. Bunun mümkün olmasının nedeni, arayüzün kullanıcıya ne ilettiğine rağmen mobil cihazın hala çevrimiçi olmasıdır.”
Covington, istismar zincirinin geleneksel anlamda bir güvenlik açığı oluşturmaması, bunun yerine bir saldırganın başka bir dizi açıktan yararlanma aracılığıyla cihazın kontrolünü ele geçirdikten sonra bağlantıyı sürdürmesine izin veren bir teknik oluşturması nedeniyle, keşfin normal sorumlu ifşa sürecinin dışında kaldığını söyledi. .
Covington, “Her şeye rağmen, araştırmacılarımız Apple’a araştırmayı bildirdiler” dedi. “Bize herhangi bir yorum gelmedi.”
Kimler risk altındadır?
Yeni saldırı tekniği açıkça bir risktir, ancak öfkeyle konuşlandırılacaksa, kitlesel bir sömürü olayından ziyade, çok özel hedefleri olan bir tehdit aktörü tarafından hedeflenen bir saldırı senaryosunda kullanılması daha olasıdır. kamuoyu.
Örneğin, devlet destekli düşmanca aktörlerin ilgili kişilere karşı casusluk veya gözetleme amacıyla kullanılması, finansal amaçlarla hareket eden siber suçlular tarafından kullanılmasından daha makul bir senaryodur.
Uçak modunun kullanımının her zaman uçan halkla sınırlı olmaması, tekniğin vahşi doğada nasıl kullanılabileceğine dair daha fazla olasılığın ipuçlarını veriyor. Covington, “Kurallara uyan herhangi bir gezgin, uçuş halindeki bir ticari uçakta cihazların çevrimdışı moda geçirilmesini gerektiren düzenlemelere aşina olsa da, uçak modunun kullanıldığı tek zaman bu değil,” dedi.
“Güvenli tesisleri ziyaret ederken, yönetim kurulu toplantılarına katılırken ve ‘kayıt dışı’ olan veya yalnızca üretkenlik amacıyla bağlantısı kesilen senaryolarda çevrimdışı modu kullanan kişilerden ve kuruluşlardan sık sık haber alıyoruz” diye ekledi.
Covington, tekniğin hedefli bir saldırıda kullanılması en muhtemel olsa da, cihaz kullanıcı arayüzlerinin, özellikle Apple gibi güvenilir tedarikçiler tarafından oluşturulanların, doğasında var olan özellikler nedeniyle kullanıcılarının aleyhine nasıl çevrilebileceği konusunda farkındalığı artırmanın hala önemli olduğunu söyledi. insanların mobil cihazlarına güven.
“Önemli olan, kullanıcıların ve güvenlik ekiplerinin, sahte uçak modu araştırmasında gösterilenler gibi modern saldırı teknikleri konusunda daha eğitimli hale gelmesidir” dedi. “Bir bakıma bu, sosyal mühendisliğin yeni nesli ve bilinen ünlülerdenmiş gibi görünen sahte referanslar oluşturmak için yapay zekanın kullanılmasından çok da farklı değil.
“Bir saldırı tekniğinin mümkün olduğunu bilmek, kullanıcıları daha uyanık olmaya ve günlük rutinlerinde tanık oldukları anormallikleri sorgulamaya zorluyor.”