Az iPhone-ok titokban kémkedhetnek: így rejti el a Predator a felvételeket

Így működik a rejtett felvétel

A Jamf nevű mobileszközök menedzsmentjével foglalkozó cég szakértői alaposan elemezték a Predator működését. Ennek kulcsa egyetlen, „HiddenDot::setupHook()” nevű funkció, amely az iOS felhasználói felületének egyik fő komponensében, a SpringBoardban fut. Amikor a rendszer érzékeli, hogy a kamera vagy a mikrofon bekapcsol, normál esetben jelezne – de a Predator éppen ezt az értesítést blokkolja. Egy speciális metódus (_handleNewDomainData:) elkapja az összes ilyen eseményt, de a kémprogram ezen a ponton módosít, így soha nem jut el a jelzés a képernyőre.

Minden jelzés eltűnik

A trükk lényege, hogy a Predator lenullázza a kameráért és a mikrofonért felelős objektumot (SBSensorActivityDataProvider), így minden értesítés eltűnik. Emiatt észrevétlenül fér hozzá a kamerához és a mikrofonhoz. Továbbá a szakértők találtak olyan kihasználatlan kódrészletet is, amely korábban közvetlenül próbálta befolyásolni a jelzések megjelenítéséért felelős SBRecordingIndicatorManager-t, de végül hatékonyabb módszer mellett döntöttek.

További technikák rejtőzködésre

A VoIP (hanghívás) rögzítésére a program egy külön modulján keresztül a HiddenDot funkcióra támaszkodik. Ráadásul ARM64 gépikód-mintázatokat és PAC-átirányításokat használ, hogy kikerülje a kamera jogosultsági ellenőrzéseit. Mivel az állapotsávon nem jelenik meg jelzés, a megfigyelés gyakorlatilag teljesen láthatatlan marad.

Továbbá a Jamf jelezte, hogy technikai szinten felismerhetők gyanús jelek, például ismeretlen memóriaterületek vagy szokatlan hangfájlok, de ezeket egy átlagfelhasználó nem veszi észre. Az Apple nem válaszolt az esettel kapcsolatos megkeresésekre.

2025, adrienne, www.bleepingcomputer.com alapján