Apple iPhone’larda, Kilitleme Modunda olmadığı halde, Kilitleme Modunda çalıştığına inandıran bir saldırı türü açıklandı. Jamf Threat Labs tarafından raporlanan yeni yönteme göre, bir bilgisayar korsanı cihazınıza zaten sızmışsa, etkinleştirmeyi tetiklediğinizde Kilitleme Modunun ‘atlanmasına’ neden olabiliyor. Yani, bir saldırganın harhangi bir kötücül kodu yürütülmesini tetikleyebilecek yamalanmamış güvenlik kusurları kullanılabilir.
Apple’ın geçen yıl iOS 16 ile kullanıma sunduğu Kilitleme Modu, saldırı yüzeyini en aza indirerek yüksek riskli bireyleri paralı casus yazılımlar gibi karmaşık dijital tehditlerden korumayı amaçlıyor. Böylece kötü amaçlı kodların çalışması engellenir.
Ancak yeni saldırı, cihaza girmiş olan bir truva atının Kilitleme Modu’nu manipüle etmesine ve kullanıcılara güvenlik yanılsaması vermesine izin veriyor. Güvenlik araştırmacıları Hu Ke ve Nir Avraham, “Enfekte olmuş bir telefon söz konusu olduğunda, kullanıcı Kilitleme Modu’nu etkinleştirse de etkinleştirmese de, kötü amaçlı yazılımın arka planda çalışmasını durduracak hiçbir önlem yoktur.” dedi.
Sahte Kilitleme Modu, “/fakelockdownmode_on” adlı bir dosya oluşturur ve tüm süreçleri bitirecek ve çekirdeğe dokunmadan sistemi başlatacak olan “yeniden başlatma”yı tetiklerken, setLockdownModeGloballyEnabled, lockdownModeEnabled ve isLockdownModeEnabledForSafari gibi işlevlerin başarılmasını sağlar.
Bu aynı zamanda, cihaza herhangi bir kalıcılık mekanizması olmadan yerleştirilen bir kötü amaçlı yazılımın, bu tür bir yeniden başlatma sonrasında bile var olmaya devam edeceği ve kullanıcıları gizlice gözetleyeceği anlamına gelir. Dahası, bir saldırgan, ayar açıldığında engellenen PDF dosyalarının görüntülenmesini mümkün kılmak için Safari web tarayıcısındaki Kilitleme Modunu değiştirebilir.
Araştırmacılar, “iOS 17’den bu yana Apple, Kilitleme Modunu çekirdek düzeyine yükseltti. Bu stratejik hamle, güvenliği artırmada büyük bir adımdır, çünkü çekirdekte Kilitleme Modu tarafından yapılan değişiklikler, mevcut güvenlik azaltımları sayesinde genellikle sistem yeniden başlatılmadan geri alınamaz.”
Jamf’in açıklaması, iOS 16’da radarın altından uçmak ve mağduru cihazının Uçak Modunun etkin olduğunu düşünmesi için kandırarak bir Apple cihazına erişimi sürdürmek için kötüye kullanılabilecek başka bir yeni yöntemi göstermesinden yaklaşık dört ay sonra geldi.