Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Predator шпионскиот софтвер се „закачува“ на iOS SpringBoard за да ја сокрие активноста на микрофонот и камерата

Објавено: 23.02.2026

Spyware-от Predator на компанијата Intellexa може да ги сокрие индикаторите за снимање на iOS додека тајно ги пренесува (стримува) снимките од камерата и микрофонот до своите оператори.

Малверот не искористува никаква ранливост во iOS, туку користи претходно добиен пристап на ниво на кернел (kernel-level access) за да ги преземе и манипулира системските индикатори кои инаку би ја откриле неговата шпионска активност.

Apple ги воведе индикаторите за снимање во статусната лента со iOS 14, со цел да ги извести корисниците кога камерата или микрофонот се во употреба — при што се прикажува зелена точка за камерата и портокалова точка за микрофонот.

Компанијата за надзор Intellexa, која е под американски санкции, го разви комерцијалниот шпионски софтвер Predator и го користеше во напади што експлоатираа zero-day ранливости во производите на Apple и во прелистувачот Chrome, како и преку механизми за инфекција без интеракција од корисникот (0-click).

Иако неговата способност да ги потиснува индикаторите за активност на камерата и микрофонот е добро позната, досега не беше јасно како точно функционира овој механизам.

Индикатори за активирање на камера/микрофон кај iPhone

Како Predator го сокрива снимањето

Истражувачи од компанијата за управување со мобилни уреди Jamf анализирале примероци од Predator и го документирале процесот со кој се кријат индикаторите поврзани со приватноста.

Според Jamf, Predator ги сокрива сите индикатори за снимање на iOS 14 со користење на една единствена hook функција („HiddenDot::setupHook()“) внатре во SpringBoard, која се повикува секогаш кога има промена во активноста на сензорите (при активирање на камерата или микрофонот).

Со пресретнување (intercept) на тој повик, Predator спречува ажурирањата за активноста на сензорите воопшто да стигнат до корисничкиот интерфејс (UI слојот), па зелената или црвената точка никогаш не се појавува.

„Целниот метод _handleNewDomainData: се повикува од iOS секогаш кога има промена во активноста на сензорите — кога камерата се вклучува, кога се активира микрофонот итн.“, објаснуваат истражувачите од Jamf.

„Со hook-ирање на овој единствен метод, Predator ги пресретнува СИТЕ ажурирања за статусот на сензорите пред тие да стигнат до системот што ги прикажува индикаторите.“

Функција насочена кон SBSensorActivityDataProvider

Hook-от функционира така што го поништува (nullify) објектот одговорен за ажурирања на сензорите — SBSensorActivityDataProvider во SpringBoard. Во Objective-C, повиците кон null објект тивко се игнорираат, па SpringBoard никогаш не ја обработува активацијата на камерата или микрофонот и затоа не се појавува никаков индикатор.

Бидејќи SBSensorActivityDataProvider ги агрегира сите активности на сензорите, овој единствен hook ги оневозможува и индикаторот за камерата и индикаторот за микрофонот.

Истражувачите од Jamf откриле и „мртов код“ (dead code) кој се обидувал директно да го hook-ира ‘SBRecordingIndicatorManager’. Сепак, тој код не се извршува и најверојатно претставува порано развојно решение што било напуштено во корист на поефикасниот пристап — пресретнување на податоците за сензорите уште на повисоко (upstream) ниво.

Во случај на VoIP снимања, кои Predator исто така ги поддржува, модулот што е одговорен нема механизам за потиснување на индикаторите, па затоа се потпира на функцијата HiddenDot за прикривање.

Jamf дополнително објаснува дека пристапот до камерата се овозможува преку посебен модул кој ги лоцира внатрешните функции на камерата користејќи ARM64 pattern matching на инструкции и пренасочување преку Pointer Authentication Code (PAC), со цел да ги заобиколи проверките за дозвола за користење на камерата.

Без да се вклучат индикаторите во статусната лента, активноста на spyware-от останува целосно скриена за обичниот корисник.

Jamf наведува дека техничката анализа сепак може да открие знаци на малициозните процеси, како што се неочекувани memory mappings или exception ports во SpringBoard и mediaserverd, hook-ови базирани на breakpoint, како и аудио фајлови што mediaserverd ги запишува на невообичаени локации.

Медиумот BleepingComputer ја контактирал Apple со барање за коментар во врска со наодите на Jamf, но компанијата не одговорила.

Извори:

  • Bleeping Computer – Predator spyware hooks iOS SpringBoard to hide mic, camera activity Bleeping Computer