Intellexa-এর প্রিডেটর স্পাইওয়্যার গোপনে ক্যামেরা এবং মাইক্রোফোন ফিডগুলি তার অপারেটরদের কাছে স্ট্রিম করার সময় iOS রেকর্ডিং সূচকগুলি লুকিয়ে রাখতে পারে।
ম্যালওয়্যারটি কোনো iOS দুর্বলতাকে কাজে লাগায় না, তবে হাইজ্যাক সিস্টেম সূচকগুলিতে পূর্বে প্রাপ্ত কার্নেল-স্তরের অ্যাক্সেসের সুবিধা নেয় যা অন্যথায় এর পর্যবেক্ষণ ক্রিয়াকলাপগুলিকে প্রকাশ করবে৷
অ্যাপল iOS 14-এ স্ট্যাটাস বারে রেকর্ডিং সূচক চালু করেছে, যা ক্যামেরা বা মাইক্রোফোন ব্যবহার করার সময় ব্যবহারকারীদের সতর্ক করার জন্য যথাক্রমে একটি সবুজ বা কমলা বিন্দু প্রদর্শন করে।
মার্কিন-অনুমোদিত নজরদারি সংস্থা ইন্টেলেক্সা প্রিডেটর বাণিজ্যিক স্পাইওয়্যার তৈরি করেছে এবং অ্যাপল এবং ক্রোম শূন্য-দিনের ত্রুটি এবং 0-ক্লিক সংক্রমণ প্রক্রিয়ার মাধ্যমে শোষিত আক্রমণগুলিতে এটি বিতরণ করেছে।
যদিও ক্যামেরা এবং মাইক্রোফোন কার্যকলাপ সূচকগুলিকে দমন করার ক্ষমতা সুপরিচিত, তবে এটি কীভাবে কাজ করে তা পরিষ্কার ছিল না।
সূত্র: জামফ
কিভাবে শিকারী রেকর্ডিং লুকান?
মোবাইল ডিভাইস ম্যানেজমেন্ট কোম্পানি জামফের গবেষকরা প্রিডেটর নমুনা বিশ্লেষণ করেছেন এবং গোপনীয়তা-সম্পর্কিত সূচকগুলি লুকানোর প্রক্রিয়াটি নথিভুক্ত করেছেন।
জামফের মতে, প্রিডেটর স্প্রিংবোর্ডের ভিতরে একটি একক হুক ফাংশন (‘HiddenDot::setupHook()’) ব্যবহার করে iOS 14-এ সমস্ত রেকর্ডিং সূচক লুকিয়ে রাখে, যখনই সেন্সর কার্যকলাপ পরিবর্তন হয় (ক্যামেরা বা মাইক্রোফোন অ্যাক্টিভেশনে) পদ্ধতিটি চালু করে।
এটিকে বাধা দেওয়ার মাধ্যমে, প্রিডেটর সেন্সর কার্যকলাপ আপডেটগুলিকে UI স্তরে পৌঁছাতে বাধা দেয়, তাই সবুজ বা লাল বিন্দু কখনই জ্বলে না।
“টার্গেট মেথড _handleNewDomainData: যখনই সেন্সর কার্যকলাপ পরিবর্তিত হয় তখন iOS দ্বারা ডাকা হয় – ক্যামেরা চালু করা হয়, মাইক্রোফোন সক্রিয় করা হয়, ইত্যাদি,” JMF গবেষকরা ব্যাখ্যা করেন।
“এই একক পদ্ধতিতে হুক আপ করে, প্রিডেটর সূচক ডিসপ্লে সিস্টেমে পৌঁছানোর আগে সমস্ত সেন্সর স্ট্যাটাস আপডেটগুলিকে বাধা দেয়।”
সূত্র: জামফ
হুক সেন্সর আপডেটের জন্য দায়ী বস্তুটি বাতিল করে কাজ করে (SBSensorActivityDataProvider in Springboard)। অবজেক্টিভ-সি-তে, একটি নাল অবজেক্টে কলগুলি নিঃশব্দে উপেক্ষা করা হয়, তাই স্প্রিংবোর্ড কখনই ক্যামেরা বা মাইক্রোফোন সক্রিয়করণ প্রক্রিয়া করে না এবং কোনও সূচক উপস্থিত হয় না।
যেহেতু SBSensorActivityDataProvider সমস্ত সেন্সর কার্যকলাপ একত্রিত করে, এই একক হুক ক্যামেরা এবং মাইক্রোফোন উভয় সূচককে অক্ষম করে।
গবেষকরা “ডেড কোড”ও খুঁজে পেয়েছেন যা সরাসরি ‘SBRecordingIndicatorManager’-এ হুক করার চেষ্টা করেছিল। যাইহোক, এটি কার্যকর হয় না, এবং সম্ভবত এটি একটি আগের উন্নয়ন পথ যা একটি ভাল পদ্ধতির পক্ষে পরিত্যাগ করা হয়েছিল যা সেন্সর ডেটা আপস্ট্রিমে বাধা দেয়।
ভিওআইপি রেকর্ডিংয়ের ক্ষেত্রে, যা প্রিডেটরও সমর্থন করে, দায়ী মডিউলটিতে একটি সূচক-দমন প্রক্রিয়ার অভাব রয়েছে, তাই এটি গোপনীয়তার জন্য হিডেনডট ফাংশনের উপর নির্ভর করে।
Jamf আরও ব্যাখ্যা করে যে ক্যামেরা অ্যাক্সেস একটি পৃথক মডিউলের মাধ্যমে সক্ষম করা হয়েছে যা ক্যামেরা অনুমতি চেকগুলিকে বাইপাস করার জন্য ARM64 নির্দেশ প্যাটার্ন ম্যাচিং এবং পয়েন্টার প্রমাণীকরণ কোড (PAC) পুনর্নির্দেশ ব্যবহার করে অভ্যন্তরীণ ক্যামেরা ফাংশন সনাক্ত করে।
স্ট্যাটাস বারে আলোকিত সূচকগুলি ছাড়াই, স্পাইওয়্যার কার্যকলাপ নিয়মিত ব্যবহারকারীর কাছে সম্পূর্ণরূপে লুকানো থাকে।
জামফ উল্লেখ করেছে যে প্রযুক্তিগত বিশ্লেষণে দূষিত প্রক্রিয়ার লক্ষণ প্রকাশ করা হয়েছে, যেমন স্প্রিংবোর্ড এবং মিডিয়া সার্ভারে অপ্রত্যাশিত মেমরি ম্যাপিং বা ব্যতিক্রম পোর্ট, ব্রেকপয়েন্ট-ভিত্তিক হুক, এবং মিডিয়া সার্ভারের অস্বাভাবিক পথে লেখা অডিও ফাইল।
ব্লিপিংকম্পিউটার জামফের অনুসন্ধানের বিষয়ে মন্তব্য করার অনুরোধের সাথে অ্যাপলের সাথে যোগাযোগ করেছে, কিন্তু কোম্পানি কখনই সাড়া দেয়নি।
আধুনিক আইটি অবকাঠামো ম্যানুয়াল ওয়ার্কফ্লোগুলির চেয়ে দ্রুত চলে।
এই নতুন Tynes গাইডে, শিখুন কিভাবে আপনার দল লুকানো ম্যানুয়াল বিলম্ব কমাতে পারে, স্বয়ংক্রিয় প্রতিক্রিয়ার মাধ্যমে নির্ভরযোগ্যতা উন্নত করতে পারে এবং আপনি ইতিমধ্যেই যে সরঞ্জামগুলি ব্যবহার করছেন তার উপরে বুদ্ধিমান ওয়ার্কফ্লোগুলি তৈরি এবং স্কেল করতে পারে৷
