【安全资讯】Predator间谍软件通过劫持iOS SpringBoard隐藏摄像头与麦克风活动

概要：

在移动设备安全领域，间谍软件的隐蔽性技术正不断演进，对用户隐私构成严重威胁。近期，研究人员发现由Intellexa开发的Predator商业间谍软件具备一项危险能力：它能完全隐藏iOS系统在摄像头或麦克风启用时显示的隐私提示灯。这一发现揭示了高级监控工具如何在不利用新漏洞的情况下，通过操纵系统核心进程实现完全隐秘的监控。

主要内容：

Jamf公司的安全研究人员对Predator样本进行了深入分析，揭示了其隐藏iOS隐私指示器的机制。该恶意软件并非利用iOS漏洞，而是依赖于先前已获取的内核级访问权限，通过挂钩（hook）SpringBoard进程中的单个关键函数来实现。具体而言，它挂钩了处理传感器活动数据更新的方法 `_handleNewDomainData:`。

当摄像头或麦克风被激活时，iOS系统会调用此方法以更新用户界面上的指示器（绿色或橙色圆点）。Predator通过其`HiddenDot::setupHook()`函数拦截此调用，并使其指向一个空对象（null object）。在Objective-C运行时环境中，对空对象的调用会被静默忽略，从而导致传感器活动更新永远无法传递到UI层，指示器因此不会亮起。

由于被挂钩的`SBSensorActivityDataProvider`对象负责聚合所有传感器数据，因此这一单一钩子即可同时禁用摄像头和麦克风两个指示器。研究还发现了未执行的“死代码”，表明开发者曾尝试直接挂钩`SBRecordingIndicatorManager`，但最终选择了更上游的拦截方案。对于VoIP录音功能，该间谍软件则完全依赖上述HiddenDot模块实现隐匿。

此外，Predator通过单独的模块启用摄像头访问，该模块使用ARM64指令模式匹配和指针认证码（PAC）重定向技术来定位内部摄像头函数并绕过权限检查。尽管对普通用户完全隐藏，但技术分析仍能发现恶意痕迹，如SpringBoard和mediaserverd进程中的异常内存映射、异常端口、基于断点的钩子以及写入非常规路径的音频文件。这种无指示器的监控使得用户设备可能在毫无察觉的情况下被长期窃听与偷拍，危害极大。