Apple prometió privacidad, pero Predator halló una vulnerabilidad: ahora el indicador de grabación se puede desactivar fácilmente.
Hackers logran espiar iPhones sin dejar rastro
En la pantalla del iPhone aparece un diminuto punto verde u naranja cuando una aplicación activa la cámara o el micrófono. Esta sencilla señal hace tiempo que se convirtió en un símbolo de privacidad. Pero, como se ha descubierto, el software espía comercial Predator aprendió a hacer que el punto simplemente no aparezca.
Los especialistas de Jamf Threat Labs analizaron una muestra de Predator y mostraron cómo se comporta el programa tras la completa compromisión del dispositivo. No se trata de una nueva vulnerabilidad en iOS. El estudio describe lo que ocurre después de la infección, cuando los atacantes han obtenido control total del sistema, incluido el acceso al núcleo y la posibilidad de inyectar código en procesos del sistema.
Con la llegada de iOS 14, Apple añadió indicadores de grabación en color. El punto verde significa que se está usando la cámara, el naranja indica que funciona el micrófono. La responsabilidad de mostrarlos recae en el proceso SpringBoard, que gestiona la interfaz del dispositivo y recibe datos sobre el estado de los sensores a través de componentes internos del sistema.
Predator actúa de manera diferente a la conocida técnica NoReboot, de la que Jamf habló hace varios años. Entonces el malware simulaba el apagado del teléfono y seguía espiando en segundo plano. Predator no finge que el dispositivo está apagado. El teléfono funciona con normalidad, pero el usuario no ve ninguna advertencia sobre la cámara o el micrófono activados.
La clave para eludir los indicadores resultó ser inesperadamente ingeniosa. El malware inserta una interceptación en un método de una clase del sistema que recibe las notificaciones de activación de los sensores. Ese método se invoca cada vez que la cámara o el micrófono empiezan a funcionar. Predator intercepta la llamada y sustituye uno de los parámetros internos por cero.
Actúa a continuación una peculiaridad del lenguaje Objective-C, en el que está escrita gran parte de iOS. Si se envía un mensaje a un método con un objeto «vacío», el sistema simplemente ignorará la llamada y no ejecutará el código. Como resultado, la información sobre la activación de la cámara o el micrófono no llega a la interfaz y el punto de color no aparece. Una sola interceptación bloquea ambos indicadores al mismo tiempo.
Los investigadores también encontraron rastros de un enfoque alternativo. En el código quedó una función no utilizada que intervenía directamente en el mecanismo de visualización de los iconos de grabación. Al parecer, los desarrolladores abandonaron esa opción en favor de una variante más discreta que detiene los datos antes de que lleguen a la interfaz.
Un módulo separado se encarga de la grabación de llamadas a través de internet. Intercepta el procesamiento de los datos de audio en el proceso del sistema mediaserverd, detecta la frecuencia de muestreo, transforma el sonido y lo guarda en un archivo. No obstante, no incluye un mecanismo propio para ocultar el punto naranja. Al parecer, los operadores deben primero activar el módulo general de supresión de indicadores y después iniciar la grabación.
Otro componente, CameraEnabler, elude la protección integrada de acceso a la cámara redirigiendo las comprobaciones en el código. Para ello, Predator busca la función necesaria por su conjunto característico de instrucciones de máquina, no por su nombre. Ese enfoque hace que el módulo sea menos sensible a los cambios en nuevas versiones de iOS.
Para que funcionen todos estos mecanismos, el malware debe inyectarse en procesos del sistema, incluidos SpringBoard y mediaserverd. Eso deja ciertas huellas. Las soluciones de seguridad pueden buscar áreas de memoria inusuales en procesos del sistema, el registro de manejadores de excepciones o situaciones en las que la cámara y el micrófono están activos sin que se muestren los indicadores.
El estudio no revela nuevas formas de vulnerar el iPhone, pero muestra lo sofisticadas que se han vuelto las herramientas de vigilancia comercial. Predator no quiebra la protección de la privacidad directamente, sino que la elude cuidadosamente desde dentro, aprovechando peculiaridades del propio sistema. Y el diminuto punto de color en el que muchos confiaban, en ese caso simplemente no se encenderá.