Зеленая точка не загорится: как шпионское ПО Predator обходит защиту iOS

Вы наверняка замечали в верхней части экрана iPhone оранжевую или зеленую точку. В iOS 14 компания Apple внедрила этот, казалось бы, простой индикатор как важный элемент приватности: зеленый цвет сигнализирует о работе камеры, оранжевый — о том, что микрофон активен. Система продумана так, что у сторонних приложений нет прямого доступа к этим индикаторам — они полностью контролируются операционной системой. Это создает иллюзию абсолютной защиты от скрытой слежки.

Однако, как выяснили исследователи «Лаборатории Касперского», дорогостоящее шпионское ПО Predator научилось обходить эту защиту, делая пользователя полностью невидимым для встроенных механизмов контроля приватности.

Что такое Predator и кому он угрожает

Predator — это коммерческое шпионское ПО, которое разрабатывает компания Intellexa (зарегистрирована на Кипре, имеет корни в Северной Македонии и Израиле). Название выбрано не случайно: Predator («Хищник») является второй частью комплекса, где первую роль выполняет модуль Alien («Чужой»), отвечающий за взлом устройства и доставку основного зловреда.

Такое ПО используется для крайне серьезного промышленного или государственного шпионажа. Стоимость подобных инструментов огромна, поэтому вероятность столкнуться с ними у обычного пользователя крайне мала. Однако если вы по роду деятельности можете оказаться в зоне интересов профессиональных злоумышленников (журналисты, правозащитники, сотрудники крупных компаний), важно понимать, с какой угрозой можно столкнуться.

Как Predator отключает индикаторы камеры и микрофона

Главная находка исследователей — не сам факт того, что Predator умеет скрывать индикаторы (об этом было известно и раньше), а точный механизм, который для этого используется.

В коде трояна обнаружились следы двух подходов. Первый, более ранний, предполагал вмешательство уже на этапе отображения индикатора — после того как системный компонент SpringBoard (отвечающий за пользовательский интерфейс iOS) получал информацию об активности камеры или микрофона. Однако разработчики посчитали этот метод слишком сложным и ненадежным, оставив его в коде как «мертвый груз».

Основной способ, который использует Predator, оказался более элегантным. Вместо того чтобы бороться с уже включенным индикатором, зловред блокирует саму передачу сигнала о начале записи. Используя особенности языка Objective-C (на котором написан SpringBoard), вредоносная программа перехватывает коммуникацию между системным интерфейсом и компонентом, собирающим данные о состоянии камеры и микрофона. В результате SpringBoard просто никогда не узнает, что камера или микрофон были активированы, и, соответственно, не включает предупреждающую точку.

Пользователь остается в полном неведении: внешне устройство ведет себя как обычно, а шпионское ПО тем временем может вести скрытую запись.