Onderzoekers van Jamf Threat Labs hebben dinsdag een nieuw rapport geplaatst waarin wordt uitgelegd hoe een iPhone kan zijn gehackt om een nepversie van de Lockdown-modus weer te geven, waardoor de eigenaar voor de gek wordt gehouden door te denken dat zijn iPhone veilig is.
Geïntroduceerd in iOS 16, kan de Lockdown-modus worden ingeschakeld als een gebruiker denkt dat hij of zij zich in een situatie bevindt waarin hij of zij een doelwit is voor spyware. Beschikbaar in iOS en iPadOS via de Privacy en beveiliging Instellingen voorkomt de Lockdown-modus dat uw apparaat bepaalde functies uitvoert die worden gebruikt om spyware te installeren, zoals de mogelijkheid om afbeeldingen te bekijken in de Berichten-app of JavaScript in Safari. (De Lockdown-modus is ook beschikbaar in macOS, maar het onderzoek van Jamf is specifiek voor iOS en iPadOS.)
Wanneer een gebruiker de Lockdown-modus inschakelt, moet het apparaat opnieuw opstarten om de wijzigingen door te voeren. Jamf ontdekte dat het deze herstart kon omzeilen door iOS “een bestand met de naam
/fakelockdownmode_on”, wat vervolgens een herstart van de gebruikersruimte zou initiëren, en niet de vereiste herstart van het systeem. Jamf heeft een video geplaatst waarin de nep-Lockdown-modus in actie wordt getoond.
De Lockdown-modus kan worden geïnterpreteerd als antivirussoftware die detecteert wanneer een apparaat is gecompromitteerd, maar dat is onjuist. De Lockdown-modus is een methode om infectie te voorkomen, maar zoals Jamf opmerkt: “iPhone-gebruikers moeten zich ervan bewust zijn dat als hun apparaat al is geïnfecteerd, heeft het activeren van de Lockdown-modus geen invloed op een trojan die al inbraak heeft gepleegd systeem."
De demonstratie van Jamf is een proof of concept. “Dit is niet per se een fout in de Lockdown-modus of een iOS-kwetsbaarheid; Het is een manipulatietechniek na exploitatie waarmee de malware de gebruiker visueel voor de gek kan houden door te laten geloven dat zijn telefoon in de Lockdown-modus staat”, aldus Jamf. De onderzoekers wijzen er ook op dat deze techniek nog niet in het wild is waargenomen.
Hoe u uzelf kunt beschermen tegen de valse Lockdown-modus
Als een hacker een nepscenario voor de Lockdown-modus wil creëren, is succesvolle toegang tot het apparaat nodig. Het is belangrijk om beveiligingsfuncties zoals Face ID of Touch ID te gebruiken en een complexe toegangscode te gebruiken. Open geen links in berichten van onbekende gebruikers en laat onbekende mensen uw apparaat niet gebruiken. Gelukkig is het concept van Jamf enigszins ingewikkeld om uit te voeren, dus het is onwaarschijnlijk dat een gewone gebruiker een doelwit zal zijn.
Apple heeft geen commentaar gegeven op de bevindingen van Jamf. Het bedrijf zal waarschijnlijk een patch in een toekomstige iOS-update maken om het probleem op te lossen, dus het is belangrijk om het besturingssysteem van uw apparaat regelmatig bij te werken.