Pesquisadores do Jamf Threat Labs publicaram na terça-feira um novo relatório que explica como um iPhone pode ser hackeado para exibir uma versão falsa do modo Lockdown, enganando o proprietário fazendo-o pensar que seu iPhone é seguro.
Introduzido no iOS 16, o modo de bloqueio pode ser ativado se um usuário acreditar que está em uma situação em que é alvo de spyware. Disponível em iOS e iPadOS através do privacidade e segurança configurações, o Modo de bloqueio impede que seu dispositivo execute certas funções usadas para instalar spyware, como a capacidade de visualizar imagens no aplicativo Mensagens ou JavaScript no Safari. (O modo Lockdown também está disponível no macOS, mas a pesquisa de Jamf é específica para iOS e iPadOS.)
Quando um usuário ativa o modo de bloqueio, o dispositivo precisa ser reiniciado para que as alterações tenham efeito. Jamf descobriu que poderia criar um desvio para esta reinicialização fazendo com que o iOS acionasse “um arquivo chamado /fakelockdownmode_on”, que iniciaria uma reinicialização do espaço do usuário, e não a reinicialização do sistema necessária. Jamf postou um vídeo que mostra o falso Modo Lockdown em ação.
O Modo Lockdown pode ser interpretado como um software antivírus que detecta quando um dispositivo foi comprometido, mas isso está incorreto. O Modo Lockdown é um método para prevenir infecções, mas, como aponta Jamf, “os usuários do iPhone devem estar cientes de que se seus dispositivo já foi infectado, a ativação do modo Lockdown não afetará um trojan que já tenha violado o sistema."
A demonstração de Jamf é uma prova de conceito. “Isso não é uma falha no Modo Lockdown ou uma vulnerabilidade do iOS, por si só; é uma técnica de adulteração pós-exploração que permite que o malware engane visualmente o usuário, fazendo-o acreditar que seu telefone está funcionando no modo Lockdown”, disse Jamf. Os pesquisadores ressaltam ainda que essa técnica não foi observada na natureza.
Como se proteger do falso modo de bloqueio
Para que um hacker crie um cenário falso de modo de bloqueio, é necessário acesso bem-sucedido ao dispositivo. É importante usar recursos de segurança como Face ID ou Touch ID e usar uma senha complexa. Não abra links em mensagens de usuários desconhecidos nem permita que pessoas desconhecidas usem seu dispositivo. Felizmente, o conceito de Jamf é um tanto complicado de executar, então é improvável que um usuário comum seja o alvo.
A Apple não comentou as descobertas de Jamf. A empresa provavelmente criará um patch em uma atualização futura do iOS para resolver o problema, por isso é importante atualizar o sistema operacional do seu dispositivo regularmente.