Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Wyłączenie telefonu wcale nie musi oznaczać usunięcie Pegasusa czy innego malware. Zobaczcie na ten sprytny trick

06 stycznia 2022, 20:25 | W biegu | komentarzy 35

Zacznijmy trochę nietypowo, bo od prezentacji nagrania dostępnego w ramach badania opublikowanego przez ZecOps (całość prezentowana jest na przykładzie iPhone).

Po lewej widok z kamery zainfekowanego telefonu, sam zainfekowany telefon po prawej stronie (wysyła on obraz z kamery / mikrofonu do atakującego, nota bene – ofiara nie ma żadnego wizualnego efektu np. świecącej się diody – ostrzegającej, że kamera/mikrofon nagrywa).

W pewnym momencie ofiara wyłącza telefon:

Okej, telefon się wyłącza, ale atakujący cały czas widzi obraz z kamery! Jak to możliwe? Okazuje że istnieje możliwość zasymulowania wyłączenia telefonu (czyli prezentacja czarnego ekranu i wyłączenie wszystkich funkcji, bez powiedzmy kamery/mikrofonu/dostępu do Internetu). Badacze opisują to w ten sposób: Meet “NoReboot”: The Ultimate Persistence Bug.

W skrócie (techniczne objaśnienia tutaj), mając odpowiednie uprawnienia (a takowe malware często posiada). można wstrzyknąć swój kod w procesy odpowiedzialne za wyłączanie telefonu:

Mamy zatem czarny ekran, wyłączone reagowanie telefonu na fizyczny kontakt użytkownika, a telefon cały czas działa (i może być kontrolowany przez atakującego):

Despite that we disabled all physical feedback, the phone still remains fully functional and is capable of maintaining an active internet connection. The malicious actor could remotely manipulate the phone in a blatant way without worrying about being caught because the user is tricked into thinking that the phone is off, either being turned off by the victim or by malicious actors using “low battery” as an excuse. 

No dobrze, ale co w przypadku kiedy użytkownik chce teraz włączyć „wyłączony” wcześniej telefon? Tutaj też odpowiednie wstrzyknięcie kodu może zasymulować bootowanie urządzenia…(w tym np. wyświetlenie loga Apple).

Co robić? Metodą na pozbycie się malware może być tzw. twardy restart telefonu, tego nie da się prawdopodobnie przechwycić, chociaż badacze mają pewien pomysł i na ten mechanizm – w trakcie procedury twardego restartu można wcześniej wyświetlić logo Apple, co może spowodować, że użytkownik pomyśli, że już doszło do twardego restartu…

Nie ma potwierdzenia, że technika stosowana jest Pegasusie czy w innym, podobnym spyware.

~Michał Sajdak

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Paweł

    Pytanie czy telefon wyłącza się na pewno… czy ma zainfekowana procedure wyłączenia i tylko wyłącza ekran do momentu naciśnięcia ponownego powera (wyzwala wtedy niby włączenie które łatwo podrobić)(pozatym gdzie pin) a tak na prawdę tel nadal działa…

    Odpowiedz
    • PiS

      Czytałeś w ogóle treść art.???

      Odpowiedz
    • yyy

      geniusz <3

      p.s.
      przeczytaj artykuł zamiast mędrkować

      Odpowiedz
    • Jakub

      Przecież to opisuje artykuł i załączony film.

      Odpowiedz
    • M

      Przecież dokładnie o tym jest ten artykuł…

      Odpowiedz
    • Kyp

      Czlowieku, czytales w ogole artykul?

      Odpowiedz
    • GRAVITANT

      Nie no coś ty, naprawdę?
      Geniusz się obudził 😂
      Obudź się bo coś Tobie umknęło !

      Odpowiedz
  2. Romeo

    Zostaje poczekać na rozładowanie baterii…

    Odpowiedz
  3. Menio

    Ale robicie reklame dla pegasusa. A tak na boku antyreklame dla iPhona czyżby sponsoring twórców Androida. W sieci duuuuużo takich antyreklam. Oto pegasus zainfekował iphona, którego nawet fbi i cai nie mogło złamać poniekąd. Ale dzielny koń z wora z jeziora sobie z tym poradził.

    Odpowiedz
    • wk

      @Menio

      Gdybyś pracował w organach ścigania i umiał złamać daną technologię zabezpieczeń, chwaliłbyś się tym? Czy przeciwnie, ogłaszałbyś ją jako superbezpieczną?

      Odpowiedz
    • Vasco

      Iphone sam w sobie jest antyreklamą ale czy ten artykuł ma być? Poprostu wzięli ten telefon na przykład, gdyby wzięli jakikolwiek inny można by było napisać dokładnie taki sam komentarz tylko z innym telefoniem

      Odpowiedz
      • dowodu 100% nie ma, ale rzeczywiście jest spore prawdopodobieństwo, że podobne „cuda” można by zrobić na Androidzie

        Odpowiedz
        • Tomek

          Podobne cuda na Androidzie byłyby o tyle trudniejsze, że pewnie każdy model telefonu ma swoje nakładki graficzne i w inny sposób wyświetla guziki do wyłączenia a potem animację przy włączaniu. To trochę utrudnia.

          Odpowiedz
    • as

      Milion różnych wersji Androida, akurat w tej sytuacji może być jego siłą – wygląd podrobionego ekranu włączania i wyłączania trzeba dopasować wersji systemu, aby użytkownik Samsunga nie zobaczył loga Huawei :-)

      Odpowiedz
    • Leszek

      Nie sądzę, aby redakcja Sekuraka robiła antyreklamę iPhone, do tej pory tylko chwalili, więc to może lekka korekta, moim zdaniem i tak za mała.

      Odpowiedz
    • Gość

      Oho. Widzę fan ajphone’a. Żeby tylko nigdzie złego słowa nie powiedzieli na to 'marne’ cudo

      Odpowiedz
  4. wk

    Przypomina mi się mój pierwszy kontakt ze smartfonem (nie moim, konfigurowanym komuś w zamierzchłych czasach), gdy mając pewien problem z jego wyłączeniem doszedłem do wniosku, że chyba to specjalnie jest zrobione tak, żeby nie dawało się wyłączać ;)

    Odpowiedz
  5. asdsad

    Jeśli twórcy pegaza tego nie znali, to… już znają :/
    Jednak telefony z wyjmowaną baterią nie są takie złe.

    Odpowiedz
  6. Ewa

    No dobra, a wyciągnięcie baterii nie pomoże? Bez prądu chyba nie działa… Pegasus może mityczny, ale bez energii nawet on nie da rady.

    Odpowiedz
  7. Patryk

    Przy wyłączeniu rozumiem, pytanie jak się zachowa przy przytrzymaniu kombinacji klawiszy power i volume ( góra czy dół już nie pamietam). Niby to jest traktowane jako soft reset… 15 sekund wyłącza się i włącza ponownie jak dobrze pamietam. Pytanie czy symuluje też tryb odtwarzania w ten sposób (awaryjne odtworzenie iPhone pod iTunes kiedyś).

    Odpowiedz
  8. Piotr

    Zastanawia mnie z czym i dlaczego ten telefon jest sparowany?
    Standardowo blokuje się sim a tu nie więc… jak to prawda to znaczy że Apple nie wyłącza telefonów tylko uruchamia animację :)

    Odpowiedz
    • Ktosiek

      Proponuje zamiast bateri podpiac zasilacz labo. Bedzie potrzebny rezystor i nie wiem czy nowe iphony na to pozwola. Potem patrz na pobor pradu a najlepiej zacznij luzna rozmowe na pewne tematy

      Odpowiedz
  9. Hjb

    Wystarczy rozebrać telefon i wyciągnąć wtyczkę baterii lub zmienić ma stary model 😄

    Odpowiedz
  10. Wojtek

    Kiedyś można było wyjąć baterię… I tak robiono, aby nie szpiegowali. I jeszcze do metalowego pudełka, dla ekranowania. Czyli czas wrócić do telefonów z łatwo wymienianymi bateriami.

    Odpowiedz
    • jasc

      Nie tylko kiedyś. Jakże się cieszę że się nieco wysiliłem na mały researching i kupiłem rok temu fajną Motorolę z wymienną, łatwo wyjmowalną baterią – w dodatku za śmieszne pieniądze.

      Odpowiedz
  11. Kamil

    Ciekawe, jak zachowa się ekran po podpięciu wyłączonego telefonu do ładowarki. Czy malware przewiduje taką opcję i wyświetli ikonkę ładowania, czy pozostanie ciemny. Zawsze dodatkowa metoda na sprawdzenie, czy telefon na pewno jest wyłączony. ^^

    Odpowiedz
  12. 777

    Jak sprawdzić czy to gówno zostało zainstalowane w Iphone ?

    Odpowiedz
    • W

      iVerify

      Odpowiedz
  13. W

    iOS przy restarcie ZAWSZE zapyta o kod odblokowania przy pierwszym uruchomieniu, nie pozwoli na TouchID czy FaceID jak to widać na filmie. Trzeba zwracać uwagę czy nadal to robi pomimo restartu.

    Odpowiedz
  14. Ktosiek

    Jak naprawialem iphony i je testowalem zasilajac z zasilacz laboratoryjnego. To sie zastanawialem dlaczego wyłaczony iphon pobiera dalej prad. W yedy wiedzialem, teraz wiem ale to tacy ludzie jak ja nosza foliowe czapki.

    Odpowiedz
  15. asdsad

    Co jest warty reset w Androidzie? Nic!!!
    Przecież po restarcie, wszystkie programy wstają od nowa. Nawet „Reboot now” z menu „Android Recovery” – nic nie zmienia – te apki, które chodziły przed restartem, po restarcie też startują. Oby Jabłko było mądrzejsze.

    Odpowiedz

Odpowiedz