攻击者思维 - iOS 摄像头指示灯不亮,就真的没事了吗?

最新推荐文章于 2023-01-08 13:19:26 发布
最新推荐文章于 2023-01-08 13:19:26 发布
阅读量1.1k 收藏 2
点赞数
文章标签: 内核 java 安全 linux 面试
原文链接:https://mp.weixin.qq.com/s?__biz=MzA3NzM0NzkxMQ==&mid=2655375921&idx=3&sn=7fa0d4cf2d3cf8481fdca0ca167c6694&chksm=84e21f19b395960fd26d936193178fe9cdfe17909b8c9bfe4807d52a84feae3865fe107840ad&scene=126&&sessionid=0
版权

👇👇关注后回复 “进群” ,拉你进程序员交流群👇👇

原文来自 blog.secops.com

在这个博客系列中,我们将介绍移动威胁参与者的想法,以及攻击者使用哪些技术来克服安全保护以及我们的手机和平板电脑受到威胁的迹象。

在第一篇博客中,我们将展示最近添加的摄像头和麦克风绿色/橙色指示器如何不会对移动威胁参与者构成真正的安全挑战。

转载来源:小集
链接:https://mp.weixin.qq.com/s/pD8RuovB4Gw-Z4VoQSYlVQ

从 iOS 14 开始,系统右上角新增了两个点:一个绿点和一个橙点。当访问摄像头或麦克风时,这些指示灯会点亮发出信号。

当没有绿色/橙色圆点时,我们就不那么担心手机能听到我们说话了。

8d360d991645ff57ae3a89843165a791.png

我们知道像 NSO/Pegasus 这样的恶意软件能够监听麦克风。NSO Group 和数百名其他针对移动设备的威胁软件能否在摄像头指示器关闭时拍摄我们的视频呢?

让我们来看看此功能是否对攻击者构成任何挑战。

逻辑问题

我们先想一想。每次访问摄像头或麦克风时,指示灯是否真的亮起?我们很快就会想到 Siri。如果麦克风指示灯没有一直亮起,手机如何知道我们何时说“嘿 Siri”?手机一定在监听某种正确的声音。

“嘿Siri”

/System/Library/PrivateFrameworks/CoreSpeech.framework/corespeechd 依赖 VoiceTrigger.framework 来持续监听用户的声音,然后在听到关键字时激活 Siri。

辅助功能 -> 语音控制

88117d65aebddefc1eaa650a16954d01.png

语音控制允许您使用语音命令与设备交互。

/System/Library/PrivateFrameworks/SpeechRecognitionCore.framework/XPCServices/com.apple.SpeechRecognitionCore.brokerd.xpc/XPCServices/com.apple.SpeechRecognitionCore.speechrecognitiond.xpc/com.apple.SpeechRecognitionCore.speechrecognition

负责访问麦克风。

辅助功能 -> 切换控制

7519f49fe80d82d25982c814a8e05d58.png

SwitchControl 功能的一部分是检测用户头部的运动以与设备进行交互。很酷的功能!由以下模块处理:

/System/Library/PrivateFrameworks/AccessibilityUI.framework/XPCServices/com.apple.accessibility.AccessibilityUIServer.xpc/com.apple.accessibility.AccessibilityUIServer

/System/Library/CoreServices/AssistiveTouch.app/assistivetouchd

这些功能必须访问麦克风或摄像头才能运行。但是,这些功能不会触发绿色/橙色视觉指示器。这意味着移动恶意软件也可以这样做。

这意味着通过将恶意线程注入 com.apple.accessibility.AccessibilityUIServer / com.apple.SpeechRecognitionCore.speechrecognitiond 守护进程,攻击者可以启用对麦克风的静默访问。相机访问需要额外的补丁,我们稍后会讨论

绕过 TCC 提示

TCC 代表“透明度、同意和控制”。iOS 用户经常会遇到这样的提示:

d4c869751c66a96ac260532935a831d9.png

TCC 的核心是一个名为 tccd 的系统守护进程,它管理对敏感数据库的访问以及从输入设备(包括但不限于麦克风和摄像头)收集敏感数据的权限。

你可知道?TCC 提示仅适用于具有 UI 界面的应用程序。在后台运行的任何东西都需要特殊的操作权限。权限如下图所示。只需 kTCCServiceMicrophone 就足以访问麦克风。

1762ac7e684f8c6dcdf631d8cf46d2db.png

相机访问稍微复杂一些。除了 tccd 之外,还有另一个名为 mediaserverd 的系统守护进程确保没有后台运行状态的进程可以访问摄像头。

a8c0e975daf615965574e26bc6b83955.png

到目前为止,当用户与另一个前台应用程序交互时,似乎需要一个额外的步骤(例如修补 mediaserverd)来在后台访问相机。

禁用麦克风、摄像头访问的可视指示器

第一种方法比较粗糙,使用 Cycript 向 SpringBoard 注入代码,导致指标突然消失。

c51735c9bda27f91df1dac1686209180.png

受 com.apple.SpeechRecognitionCore.speechrecognitiond 和 com.apple.accessibility.AccessibilityUIServer 的启发,这是一种非常适合我们目的的私有权限 (com.apple.private.mediaexperience.suppressrecordingstatetosystemstatus)!不幸的是,此方法不适用于相机访问。

404586230599527434c9131ab3b62634.png

通过修补“mediaserverd”在后台访问相机

mediaserverd 是一个监控媒体捕获会话的守护进程。想要访问摄像头的进程必须得到 tccd 和 mediaserverd 的批准。它是 tccd 之后的额外安全层。当它检测到应用程序不再在前台运行时,它还会终止相机访问。

值得注意的是,mediaserverd 配备了一个特殊的权限(get-task-allow)来防止代码注入。

d2e5d1fff9eea01fa89e6e7a0390d8b9.png

作为“get-task-allow”权限的结果,动态调试器依赖于获取任务端口,如 cycript,frida 在 mediaserverd 守护进程上不起作用。当 mediaserverd 没有响应时,它也会经常被系统杀死,即使是很短的时间。这并不常见:这些迹象告诉我们 mediaserverd 负责一些重要的事情。

当进程切换到后台时,mediaserverd 将收到通知并撤销对该特定进程的相机访问权限。我们需要想办法让mediaserverd在检测到进程在后台运行时什么都不做。

经过简短的研究,我们发现可以通过 hook 到 Objective-C 方法 -[FigCaptureClientSessionMonitor _updateClientStateCondition:newValue:] 来防止 mediaserverd 撤销相机访问权限,因此不需要代码覆盖。

为了注入 mediaserverd,我们使用了 lldb。 lldb 不依赖于任务端口,而是调用内核进行代码注入。实际上,已经具有内核代码执行能力的操控者可以替代 mediaserverd 的“权限”来执行此类注入。

POC 源代码可在此处获得 https://github.com/ZecOps/public/tree/master/hidden_cam_mic_demo。

在 Mac 上呢?

根据 2015 年之前的实验,Mac 上前置摄像头旁边的绿灯不能仅使用软件关闭。修改 AppleCameraInterface 驱动程序并上传自定义网络摄像头固件没有解决问题。绿灯无法关闭,因为它在相机开机时亮起。只要有电,灯就会一直亮着。从隐私角度来看,基于硬件的指标是理想的选择。我们尚未在最近的 Mac 版本/硬件上对此进行验证。

演示

我们做了一个演示,从后台进程访问摄像头/麦克风,使用RTMP协议流式传输视频/音频,步骤:

  1. 设置RTMP服务器

  2. 编译 mediaserver_patch,将代码注入 mediaserverd

  3. 编译 ios_streaming_cam,使用以下权限重新签署二进制文件并在后台运行

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>com.apple.private.security.container-required</key>
    <false/>
    <key>platform-application</key>
    <true/>
    <key>com.apple.private.tcc.allow</key>
    <array>
        <string>kTCCServiceMicrophone</string>
        <string>kTCCServiceCamera</string>
    </array>
    <key>com.apple.security.iokit-user-client-class</key>
    <array>
        <string>IOSurfaceRootUserClient</string>
        <string>AGXDeviceUserClient</string>
    </array>
    <key>com.apple.private.mediaexperience.suppressrecordingstatetosystemstatus</key>
    <true/>
    <key>com.apple.private.mediaexperience.startrecordinginthebackground.allow</key>
    <true/>
    <key>com.apple.private.avfoundation.capture.nonstandard-client.allow</key>
    <true/>
</dict>
</plist>

作者丨ZecOps Research

原文链接:

https://blog.zecops.com/research/how-ios-malware-can-spy-on-users-silently/

-End-

最近有一些小伙伴,让我帮忙找一些 面试题 资料,于是我翻遍了收藏的 5T 资料后,汇总整理出来,可以说是程序员面试必备!所有资料都整理到网盘了,欢迎下载!

3affc1c4786f25eeb6d2878f7653875c.png

点击👆卡片,关注后回复【面试题】即可获取

在看点这里0ceda38b56a5ad95ddd15162586480c2.gif好文分享给更多人↓↓

iOS_开发
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
IOS实现hook的功能,拦截UINavigati…
10-21 958
在应用中有时候需要对页面跳转做控制,如:是否有网络,是否有访问权限等。 在IOS实现hook的功能,拦截UINavigationController的页面跳转pushViewController方法 在页面公共代码viewDidLoad中添加如下代码     //================     Method sendEvent = class_getInstanceMethod(
HeartRate-iOS-SDK:iOS设备使用其设备的摄像头检测用户心律的一种方法
02-03
HeartRate-iOS-SDK:iOS设备使用其设备的摄像头检测用户心律的一种方法
攻击者思维:再现 dispatch_async 在 Voice Control 崩溃问题
iOS_开发
12-02 312
????????关注后回复“进群”,拉你进程序员交流群????????文章来自zecOpshttps://blog.zecops.com/research/use-after-free-in-voice-c...
hook监控限制_iOS逆向之hook控制中心开关
weixin_39899630的博客
12-20 457
控制中心中的快捷开关(iPad mini2 9.3.1)iOS的控制中心(Control Center,底部上拉出现的快捷菜单)提供了几个快捷开关方便操作。如中间的飞行模式、WIFI、蓝牙、勿扰模式、旋转锁定,右下的Night Shift等。就是没有GPS定位开关。苹果对开发者申请定位权限提供了两个选项,一个是始终(Always),用于需要常驻后台的导航之类的应用。还有一个是使用应用期间(Whil...
ios调用摄像头
liulushi_1988的专栏
06-07 2973
#import "CameraViewController.h" #import @interface CameraViewController () static UIImage *shrinkImage(UIImage *original, CGSize size); - (void)updateDisplay; - (void)getMediaFromSource:(UIImag
iOS中屏幕亮度与闪光灯控制详解
08-30
iOS开发中,控制屏幕亮度和闪光灯是两个常见的需求,尤其在创建用户友好和功能丰富的应用程序时。本文将深入探讨这两个主题,并提供相应的代码示例。 首先,我们来看如何控制屏幕亮度。在iOS中,我们可以使用`...
iOS 定制摄像头 Cool-iOS-Camera.zip
09-17
iOS 定制摄像头 Cool-iOS-Camera ,Cool-iOS-Camera 是用于 iOS 上完全定制现代摄像头,此应用通过 AVFoundat...
MindNote-思维导图-iOS-RAC底层源码分析
02-19
MindNote-思维导图-iOS-RAC底层源码分析
IOS应用源码Demo-用摄像头进行条码扫描识别-毕设学习.zip
04-04
前两年IOS应用源码-主要是用于毕业设计学习的。
AccessibilityService防御
qq_44005305的博客
01-08 200
检测并禁止相关App开启辅助模式;重写TextView 的 findViewsWithText方法,屏蔽文案检查;onTouch替换onClick,屏蔽View的点击事件;随机发送AccessibilityEvent,使外挂执行逻辑错误;通过PackageManager检测并禁止相关软件安装;古人云:道高一尺,魔高一丈;下篇见Xposed相关文章。
Android accessibilityserver
胡世林的博客
08-31 4049
Android的accessibilityserver
accessibilityservice 自动安装 取消删除安装包(二)
燃烧那滴泪的专栏
06-23 906
这个方法也尝试过了,完全可以 // 响应AccessibilityEvent的事件,在用户操作的过程中,系统不断的发送 @Override public void onAccessibilityEvent(AccessibilityEvent event) { Log.i(TAG, "onAccessibilityEvent:" + event.toString()); //
安全攻击溯源思路及案例+思维导图
mingyqf的博客
03-17 4379
安全攻击溯源思路及案例 在攻防的视角里,进攻方会占据比较多的主动性,而防守方则略显被动,因为作为防守方,你永远也不知道攻击会在什么时候发生。你所能做的是,做好自己该做的一切,准备好自己该准备的一切,耐心等待对手犯错的机会。 在发现有入侵者后,快速由守转攻,进行精准地溯源反制,收集攻击路径和攻击者身份信息,勾勒出完整的攻击者画像。 1、攻击源捕获 1.安全设备报警,如扫描IP、威胁阻断、病毒木马、入侵事件等 ​ 2.日志与流量分析,异常的通讯流量、攻击源与攻击目标等 ​ 3.服务器资源异常,异常的文件、账号
浅谈辅助功能 AccessibilityService
BillyLu的博客
12-26 6903
转自子云心的博客  辅助功能定义 对于那些由于视力、听力或其它身体原因导致不能方便使用Android智能手机的用户,Android提供了Accessibility功能和服务帮助这些用户更加简单地操作设备,包括文字转语音(不支持中文)、触觉反馈、手势操作、轨迹球和手柄操作。开发者可以搭建自己的Accessibility服务,这可以加强可用性,例如声音提示,物理反馈,和其他可选的操
深入了解AccessibilityService
android开发笔记
06-25 2619
微信红包自打出世以来就极其受欢迎,抢红包插件可谓红极一时.今天,我们重新谈谈抢红包插件的哪些事儿.本质上,抢红包插件的原理不难理解,其过程就是在收到红包时,自动模拟点击.做过自动化UI测试的童鞋应该非常熟悉了.那么问题来了,我们怎么知道有没有红包,又怎么模拟点击操作呢?在PC端我们有按键精灵,那么在Android设备上呢?话说也偶然,Google为了让Android系统更实用,为用户提供了无障碍辅...
Accessibility辅助功能--一念天堂,一念地狱
weixin_33709364的博客
02-05 889
0x00什么是Accessibility(辅助功能) 考虑到部分用户不能很好地使用Android设备,比如由于视力、身体、年龄方面的限制,造成阅读内容、触控操作、声音信息等方面的获取困难,Android提供了Accessibility特性和服务帮助用户更好地使用Android设备。 依据Android官方的详细介绍,开发者在增加视图属性如contentDescription等内容后,可以在不修...
iOS黑魔法-Method Swizzling(全局hook,行为统计)
爱技术....爱生活!
06-28 5213
转自:http://www.jianshu.com/p/ff19c04b34d0 需求 就拿我们公司项目来说吧,我们公司是做导航的,而且项目规模比较大,各个控制器功能都已经实现。突然有一天老大过来,说我们要在所有页面添加统计功能,也就是用户进入这个页面就统计一次。我们会想到下面的一些方法: 手动添加 直接简单粗暴的在每个控制器中加入统计,复制、粘贴、复制、粘贴...
有Obfuscator-iOS的链接吗
最新发布
06-08
Obfuscator-iOS是一款免费的iOS代码混淆工具,您可以前往其GitHub页面进行下载和使用。以下是Obfuscator-iOS的GitHub页面链接: https://github.com/pjebs/Obfuscator-iOS 在该页面中,您可以找到Obfuscator-iOS的使用文档和示例代码,以及详细的安装和配置说明。如果您在使用Obfuscator-iOS的过程中遇到问题,可以在GitHub页面中提出问题,或者参考其他用户的解决方案。需要注意的是,Obfuscator-iOS虽然是一款免费的工具,但是在使用过程中还需要遵循相关的法律法规和使用协议。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值