Ny research från Jamf Threat Labs visar för första gången offentligt hur kommersiell spionprogramvara kan kringgå Apples kamera- och mikrofonindikatorer – och i det tysta övervaka iPhones utan att användaren märker något.
Rapporten dokumenterar hur Predator-spyware används i verkliga attacker och ger en unik inblick i hur dagens mest avancerade mobilhot fungerar i praktiken.
När kamera eller mikrofon används på en iPhone visas normalt gröna eller orangea indikatorer på skärmen. Att dessa signaler i teorin skulle kunna kringgås har varit känt sedan tidigare – men nu presenterar Jamf Threat Labs den första tekniska analysen som visar hur detta faktiskt görs i praktiken.
– Det här handlar inte om en ny iOS-sårbarhet eller något som kräver en säkerhetspatch från Apple. Det är en malware-analys som visar hur redan installerad spionprogramvara fungerar efter att en enhet har komprometterats. Syftet med rapporten är att hjälpa försvarare att bättre förstå hotbilden och bygga starkare förmåga att upptäcka den här typen av attacker, säger Adam Boynton, Enterprise Strategy Manager, EMEIA
Rapporten beskriver hur Predator-spyware, utvecklad av Intellexa/Cytrox, kan blockera iOS säkerhetsindikatorer samtidigt som kamera och mikrofon fortsätter att spela in – och enheten förblir fullt fungerande.
Adam Boynton, Enterprise Strategy Manager, EMEIA
Rapporten visar bland annat:
- En enda teknisk manipulation slår ut både kamera- och mikrofonvarningar: Predator blockerar samtidigt den gröna kameradotten och den orange mikrofonindikatorn genom att stoppa sensordata innan den når användargränssnittet – vilket gör övervakningen helt osynlig.
- Inspelning kan ske utan att systemet reagerar: Genom att manipulera interna iOS-objekt får Predator förändringar i inspelningsstatus att ignoreras helt – utan felmeddelanden eller visuella signaler till användaren.
- Smart uppbyggd smygdesign: Predators inspelningsfunktion för samtal innehåller ingen egen kod för att stänga av indikatorer, utan förlitar sig på att detta redan aktiverats via en annan modul – ett tydligt tecken på avancerad och modulär arkitektur.
- Avancerade attacker mot iOS kärnfunktioner: Jamf Threat Labs har dokumenterat hur Predator riktar in sig på privata iOS-ramverk och använder ARM64-tekniker för att i hemlighet få tillgång till kameran, bland annat genom att omdirigera autentiserad kod.
– Den här typen av attacker är extremt svåra att upptäcka för en enskild användare. Därför är det avgörande att företag arbetar proaktivt med säkerhet: håll operativsystem uppdaterade, begränsa behörigheter, undvik okända appar och länkar och framför allt – använd lösningar som kontinuerligt övervakar enheters beteende. IT-team bör vara extra uppmärksamma på avvikande aktivitet, oväntad batteriförbrukning eller datatrafik, eftersom det kan vara tidiga tecken på komprometterade enheter, fortsätter Adam Boynton.
Hela rapporten finns här: https://www.jamf.com/blog/predator-spyware-ios-recording-indicator-bypass-analysis/
Om Jamf
Jamfs mål är att förenkla arbetet för företag och verksamheter genom att erbjuda en Apple-upplevelse som användarna älskar och företagen litar på.
Jamf är det enda företaget i världen som tillhandahåller en komplett hanterings- och säkerhetslösning för Apple first-miljöer som är säker, användarvänlig och skyddar den personliga integriteten.
