研究人员于周二在Jamf Threat Labs发布了一份新报告,解释了如何黑客攻击iPhone以显示虚假的“封锁模式”,从而欺骗所有者以为他们的iPhone是安全的。
“封锁模式”在iOS 16中引入,如果用户认为自己处于间谍软件的攻击目标,可以启用该模式。在iOS和iPadOS中通过“隐私与安全”设置,封锁模式可以阻止设备执行安装间谍软件所使用的某些功能,例如在消息应用中查看图像或在Safari中执行JavaScript。(封锁模式也适用于macOS,但是Jamf的研究仅针对iOS和iPadOS。)
当用户启用封锁模式时,设备需要重新启动以使更改生效。Jamf发现它可以通过让iOS触发“名为/fakelockdownmode_on的文件”来创建此重新启动的绕过方式,该文件将启动用户空间的重新启动,而不是所需的系统重新启动。Jamf发布了一段视频,显示虚假的封锁模式的工作情况。
封锁模式可以被解释为检测设备是否受到破坏的防病毒软件,但这是错误的。封锁模式是一种防止感染的方法,但正如Jamf指出的那样,“iPhone用户应该意识到,如果他们的设备已经被感染,启用封锁模式不会影响已经入侵系统的木马程序。”
Jamf的演示是一个概念验证。“这不是封锁模式或iOS漏洞,它是一种后期利用的篡改技术,可以在视觉上欺骗用户,让他们相信自己的手机正在运行封锁模式,”Jamf说道。研究人员还指出,尚未观察到这种技术在野外的应用。
如何保护自己免受虚假封锁模式的侵害:
要创建虚假的封锁模式场景,黑客需要成功访问设备。使用诸如Face ID或Touch ID等安全功能,并使用复杂的密码非常重要。不要打开来自未知用户的消息中的链接,也不要让陌生人使用您的设备。幸运的是,Jamf的概念相对复杂,不太可能针对日常用户。
苹果尚未对Jamf的发现发表评论。该公司可能会在未来的iOS更新中创建一个补丁以解决该问题,因此定期更新设备的操作系统非常重要。
