近日，網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)iOS 16存在一種新的漏洞利用后持久化技術(shù)，即使受害者的蘋果設(shè)備處于離線狀態(tài)，也可以利用該技術(shù)悄無聲息地訪問該設(shè)備。

Jamf Threat Labs 的研究人員 Hu Ke 和 Nir Avraham 在與 The Hacker News 分享的一份報告中提到：這種方法誘使受害者認(rèn)為他們設(shè)備的飛行模式正常工作，而實際上攻擊者在成功利用設(shè)備后已經(jīng)植入了一個虛假的人工飛行模式，該模式會編輯用戶界面以顯示飛行模式圖標(biāo)，并切斷除攻擊者應(yīng)用程序外所有應(yīng)用程序的互聯(lián)網(wǎng)連接。

飛行模式允許用戶關(guān)閉設(shè)備中的無線功能，從而有效阻止設(shè)備連接到 Wi-Fi 網(wǎng)絡(luò)、蜂窩數(shù)據(jù)和藍(lán)牙，以及收發(fā)電話和短信。

簡而言之，Jamf 設(shè)計的這種方法會給用戶造成一種 "飛行模式 "已開啟的假象，但同時又允許惡意行為者悄悄地為惡意應(yīng)用程序鏈接蜂窩網(wǎng)絡(luò)。

研究人員解釋說：當(dāng)用戶打開飛行模式時，網(wǎng)絡(luò)接口 pdp_ip0（蜂窩數(shù)據(jù)）將不再顯示 ipv4/ipv6 ip 地址。蜂窩網(wǎng)絡(luò)斷開就無法使用，至少在用戶看起來是這樣。

雖然底層更改由 CommCenter 執(zhí)行，但用戶界面（UI）的修改，如圖標(biāo)轉(zhuǎn)換，則由 SpringBoard 負(fù)責(zé)。

因此，攻擊的目的是設(shè)計一種人為的飛行模式，使用戶界面的變化保持不變，但為通過其他方式安裝在設(shè)備上的惡意有效載荷保留蜂窩連接。

研究人員說：在沒有 Wi-Fi 連接的情況下啟用飛行模式后，用戶會認(rèn)為打開 Safari 會顯示無法連接互聯(lián)網(wǎng)。然后會彈出一個通知窗口，提示用戶關(guān)閉飛行模式。

為了實現(xiàn)這個情境，CommCenter 守護(hù)進(jìn)程被用來阻止特定應(yīng)用程序的蜂窩數(shù)據(jù)訪問，并通過一個掛鉤函數(shù)將其偽裝成飛行模式，該函數(shù)會改變警報窗口，使其看起來就像飛行模式的設(shè)置已經(jīng)被打開了。

值得注意的是，操作系統(tǒng)內(nèi)核通過回調(diào)例程通知 CommCenter，CommCenter 再通知 SpringBoard 顯示彈出窗口。

研究人員對 CommCenter 守護(hù)進(jìn)程的進(jìn)行仔細(xì)檢查后還發(fā)現(xiàn)了一個SQL數(shù)據(jù)庫的存在，該數(shù)據(jù)庫用于記錄每個應(yīng)用程序的蜂窩數(shù)據(jù)訪問狀態(tài)（又稱捆綁 ID），如果某個應(yīng)用程序被阻止訪問蜂窩數(shù)據(jù)，該數(shù)據(jù)庫就會將標(biāo)志值設(shè)置為 "8"。

利用這個已安裝應(yīng)用程序捆綁 ID 數(shù)據(jù)庫，就可以使用以下代碼有選擇地阻止或允許應(yīng)用程序訪問 Wi-Fi 或蜂窩數(shù)據(jù)。

當(dāng)與上述其他技術(shù)相結(jié)合時，這個虛假的'飛行模式'就會看起來與真實的'飛行模式'一樣，只是互聯(lián)網(wǎng)禁令不適用于非應(yīng)用程序進(jìn)程，例如后門木馬。