El 'modo avión falso' engaña al usuario de iPhone, mientras el atacante permanece en línea

logotipo de jamf

Las amenazas a la seguridad pueden surgir en cualquier momento, incluso en el iPhone, y ahora Jamf Threat Labs ha demostrado que incluso si cree que el modo avión está activado, es posible que lo estén engañando.

En el momento de esta publicación, este ataque en particular no se ha demostrado en el mundo real. Sin embargo, la técnica de manipulación de dispositivos móviles es lo suficientemente avanzada como para que, en la mayoría de los escenarios para usuarios cotidianos, pase desapercibida.

Pasar desapercibido es el objetivo del "Modo avión falso", como lo detalla Jami Threat Labs. La idea es que un atacante pueda hacer que parezca que el iPhone de un usuario tiene el modo avión activado, desconectándolo efectivamente de las redes Wi-Fi y celulares.

Sin embargo, en realidad, este ataque en particular significa que el Modo Avión no está activado, incluso cuando desconecta la conectividad a Internet de todo excepto de la aplicación especificada por el atacante. Este exploit hace que el atacante pueda mantener la conexión con el iPhone de su elección, aunque el usuario crea que está desconectado.

Todo el proceso se basa tanto en SpringBoard como en CommCenter, donde el primero maneja los elementos de la interfaz de usuario y el segundo maneja la conectividad de red. Al mismo tiempo, Jamf Threat Labs tuvo que encontrar una manera de manipular las ventanas emergentes que normalmente notifican al usuario lo que está sucediendo en su dispositivo.

Los elementos de la interfaz de usuario aquí son los que realmente venden el ataque, con la atención al detalle. Tal como está diseñado para iOS, después de activar el modo avión falso, el ícono de celular se atenúa.

El informe completo de Jamf Threat Labs detalla el código utilizado para pasar de un paso al siguiente, en lo que respecta al Modo Avión Falso. Pero la investigación dirigida por Hu Ke y Nir Avraham señala que, para empezar, el atacante debe pasar por una serie de exploits después de evadir la detección.

Es más, el documento no describe cómo un atacante implementaría los exploits para empezar, si el atacante puede hacerlo de forma inalámbrica o si necesita acceso físico al dispositivo que pretende atacar.

El documento describe principalmente dos elementos muy importantes: que es lo suficientemente simple como para no solo falsificar el Modo Avión a nivel del sistema, sino también para que parezca que no pasa nada en absoluto a nivel de la interfaz de usuario.

No está claro si esto se ha informado a Apple.

Como se mencionó anteriormente, no se describe específicamente cómo un atacante podría realmente instigar los exploits necesarios para iniciar el Modo Avión Falso. Dicho esto, las reglas generales para mantener tus datos seguros mientras estás en el mundo siguen siendo válidas aquí.

Lo que significa que los usuarios de iPhone deben permanecer atentos a los puntos de acceso Wi-Fi a los que se conectan y nunca deben permitir que un extraño acceda a su dispositivo, especialmente por poco tiempo.

En una nota relacionada, especialmente cuando se trata de ventanas emergentes en un iPhone, un investigador que recorrió la conferencia en Def Con 2023 mostró lo fácil que es utilizar Bluetooth Low Energy para falsificar un dispositivo Apple. Lo que puede llevar a que un atacante solicite al propietario de un iPhone que ingrese su contraseña cuando menos lo espera.

A lo largo de una década y algunos cambios, Evan cubrió todo tipo de temas para una variedad de publicaciones diferentes. Se unió a AppleInsider en 2023.