I ricercatori di Jamf Threat Labs martedì hanno pubblicato un nuovo rapporto che spiega come può essere un iPhone violato per visualizzare una versione falsa della modalità di blocco, ingannando il proprietario facendogli credere che il suo iPhone sia sicuro.
Introdotto in iOS 16, La modalità di blocco può essere abilitata se un utente ritiene di trovarsi in una situazione in cui è un bersaglio di spyware. Disponibile in iOS e iPadOS tramite Privacy e sicurezza impostazioni, la modalità Blocco impedisce al dispositivo di eseguire determinate funzioni utilizzate per installare spyware, come la possibilità di visualizzare immagini nell'app Messaggi o JavaScript in Safari. (La modalità di blocco è disponibile anche in macOS, ma la ricerca di Jamf è specifica per iOS e iPadOS.)
Quando un utente attiva la modalità di blocco, il dispositivo deve essere riavviato per rendere effettive le modifiche. Jamf ha scoperto che potrebbe creare un bypass per questo riavvio facendo in modo che iOS attivi “un file denominato
/fakelockdownmode_on”, che avvierebbe quindi un riavvio dello spazio utente, non il riavvio del sistema richiesto. Jamf ha pubblicato un video che mostra la falsa modalità di blocco in azione.
La modalità di blocco potrebbe essere interpretata come un software antivirus che rileva quando un dispositivo è stato compromesso, ma ciò non è corretto. La modalità di blocco è un metodo per prevenire l'infezione ma, come sottolinea Jamf, "gli utenti iPhone dovrebbero essere consapevoli che se il loro dispositivo è già stato infettato, l'attivazione della modalità di blocco non avrà effetto su un trojan che ha già violato il sistema."
La dimostrazione di Jamf è una prova di concetto. “Questo non è un difetto della modalità di blocco o una vulnerabilità di iOS di per sé; si tratta di una tecnica di manomissione post-sfruttamento che consente al malware di ingannare visivamente l’utente facendogli credere che il suo telefono sia in modalità di blocco”, ha affermato Jamf. I ricercatori sottolineano inoltre che questa tecnica non è stata osservata in natura.
Come proteggersi dalla falsa modalità di blocco
Affinché un hacker possa creare uno scenario di modalità di blocco falso, è necessario che abbia avuto accesso al dispositivo. È importante utilizzare funzionalità di sicurezza come Face ID o Touch ID e utilizzare un passcode complesso. Non aprire collegamenti nei messaggi di utenti sconosciuti e non consentire a persone sconosciute di utilizzare il tuo dispositivo. Fortunatamente, il concetto di Jamf è piuttosto complicato da mettere in pratica, quindi è improbabile che un utente quotidiano possa diventare un bersaglio.
Apple non ha commentato i risultati di Jamf. L'azienda probabilmente creerà una patch in un futuro aggiornamento iOS per risolvere il problema, quindi è importante aggiornare regolarmente il sistema operativo del tuo dispositivo.