Złośliwe oprogramowanie na iPhone’y może działać nawet przy wyłączonym smartfonie

Badacze dowodzą, że kiedy wyłączamy telefon z systemem operacyjnym iOS, nie jest tak, że fizycznie przestaje on działać w stopniu całkowitym - niektóre podzespoły wciąż pracują, choć na bardzo niskim poborze mocy - m.in. po to, by umożliwić działanie funkcji "Find My", pozwalającej na lokalizowanie np. skradzionych czy zagubionych urządzeń, bądź móc zapłacić z wykorzystaniem NFC nawet, gdy bateria iPhone'a całkowicie padnie.

Właśnie ten mechanizm, jak wskazuje opublikowana niedawno analiza, pozwala na nowy model ataku, który umożliwia działanie złośliwego oprogramowania na iPhone'ach nawet, gdy zostaną one wyłączone przez użytkownika.

Wszystkiemu winny moduł Bluetooth

Wbudowany w iPhone'y czip Bluetooth, który umożliwia działanie funkcji "Find My" nie ma mechanizmu obsługującego cyfrowe sygnatury uruchamianego na nim oprogramowania, nie szyfruje również przesyłanych przez siebie informacji. Właśnie to pozwoliło naukowcom z politechniki w niemieckim mieście Darmstadt na eksperyment, w którym okazało się, że złośliwe oprogramowanie pozwalające na śledzenie telefonu może działać na iPhone'ach nawet wówczas, gdy te wydają się wyłączone.

Oprócz monitorowania lokalizacji użytkownika, malware wykorzystane w eksperymencie pozwoliło też badaczom na uruchomienie na wyłączonym telefonie funkcji, o których wydawałoby się, że nie mają prawa działać - w końcu urządzenie "nie pracuje".

Badacze z Niemiec to jeden z pierwszych zespołów, które pochyliły się nad zagrożeniami stwarzanymi przez czipy działające na niskim poborze energii (LPM) - pisze serwis Ars Technica. Aktywność mechanizmu LPM w telefonie, który wyłączyliśmy, utrzymywana jest do 24 godzin, w związku z czym czas na przeprowadzenie złośliwych operacji jest bardzo długi.

W opublikowanej pracy, zespół z Darmstadt stwierdza, że "obecna implementacja mechanizmu LPM jest nieprzejrzysta i stwarza wiele zagrożeń".

LPM działa w oparciu o mechanizmy sprzętowe, zatem nie można go poprawić przez aktualizacje oprogramowania systemowego. Według badaczy, zagrożenia rzucają zatem cień na bezpieczeństwo całego systemu operacyjnego iOS.

Teoria, nie realne zagrożenie?

Według serwisu Ars Technica, odkrycia niemieckiego zespołu nie mają dużego znaczenia dla użytkowników iPhone'ów, nie przekładając się na realne ryzyko infekcji złośliwym oprogramowaniem.

Warto tu jednak zaznaczyć, że ryzyko zmapowane przez badaczy ma znaczenie w przypadku infekcji Pegasusem - niektóre exploity służące jako nośnik dla tego systemu były opisywane jako możliwe do unieszkodliwienia po wyłączeniu telefonu. Warto wiedzieć, że ostatecznie działanie to może nie być skuteczne przy ochronie przed tym systemem.

Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.