苹果手机间谍软件劫持iOS私有API:摄像头麦克风偷偷录制毫无提示
- 2026-02-03 01:42:09
自 iOS 14 系统起,苹果公司在设备状态栏中设置了颜色指示器。
当应用调用摄像头时会显示绿色圆点,调用麦克风时会显示橙色圆点。
这是一项关键隐私功能,用于提醒用户设备可能正处于被监视状态。
本研究详细阐述了由 Intellexa/Cytrox 公司开发的 Predator 间谍软件,如何通过技术手段绕过该指示器,实现隐秘监视。
通过对 Predator 间谍软件 iOS 样本的逆向工程分析,jamf发现了多项此前未公开的 Predator间谍软件技术机制,具体如下:
巧用 Objective-C 语言的空对象消息特性,悄悄阻止摄像头、麦克风的活动状态向系统反馈更新; 仅靠一个Hook函数,就能同时隐藏 iOS 状态栏中摄像头(绿点)和麦克风(橙点)的两种状态指示器; 存在设计短板:其网络电话(VoIP)录音模块没有自带屏蔽麦克风指示器的隐身能力,需手动开启专门的指示器屏蔽模块才能隐藏痕迹; 精准锁定了 iOS 系统中私有框架的特定 API 接口作为攻击目标,明确了该间谍软件要劫持的系统核心函数。
1. 研究背景
1.1 iOS 录制指示器功能
苹果公司于 2020 年发布的 iOS 14 系统中,首次引入录制指示器这一隐私保护机制,具体功能如下表所示:
这些指示器会在设备状态栏中显示,且合法应用无法对其进行屏蔽。该功能由 iOS 系统的主屏幕及用户界面控制进程 SpringBoard 负责管理,通过私有框架类对传感器的活动状态进行实时监测。
图 1:左侧橙色圆点表示麦克风正在使用;右侧绿色圆点表示摄像头正在使用
1.2 过去的研究:NoReboot 技术
2022 年 1 月,现隶属于 Jamf 的 ZecOps 公司曾发布了一项名为 “NoReboot” 的技术研究。该技术展示了恶意软件如何模拟设备关机状态,同时维持后台监视功能。其实现原理如下:
劫持设备的关机事件; 向 SpringBoard 和 BackBoard 守护进程注入恶意代码; 阻止 SpringBoard 进程启动,从而隐藏所有用户界面; 屏蔽设备的所有物理反馈,包括屏幕显示、振动及触控功能。
通过以上手段,恶意软件可营造出设备已关机的假象,而摄像头和麦克风仍在后台持续工作。
1.3 Predator 间谍软件的差异化攻击手段
Predator 采用了与 NoReboot 完全不同的技术路径。它不会模拟设备关机,而是仅选择性屏蔽录制指示器,同时保证设备其他功能正常运行。这种攻击方式更为隐蔽,用户使用设备时不会发现任何异常,但实际上设备已处于被监视状态。
两种技术的对比如下表所示:
2. 技术分析
2.1 组件总览
Predator 间谍软件的辅助模块具备四项独立功能,具体如下表所示:
每个模块均通过一套简单的命令协议进行控制:
X,A, args:分配 / 初始化编号为 X 的模块 X,E, args:对编号为 X 的模块执行指定命令 X,D:删除 / 销毁编号为 X 的模块
2.2 HiddenDot 模块:指示器屏蔽机制
2.2.1 Hook函数安装
HiddenDot::setupHook () 函数的攻击目标是 SpringBoard 进程中的传感器活动数据提供器,具体为 SBSensorActivityDataProvider 类的_handleNewDomainData: 方法。
图 2:
HiddenDot::setupHook () 函数对 SBSensorActivityDataProvider._handleNewDomainData: 方法进行挂钩
该_handleNewDomainData: 方法的作用是,每当设备传感器活动状态发生变化时,如摄像头开启、麦克风激活等,iOS 系统就会调用此方法进行状态更新。Predator 通过对这一个方法挂钩,可在传感器状态信息传递至指示器显示系统之前,对所有状态更新请求进行拦截。
2.2.2 钩子回调函数:利用 Objective-C 空消息传递机制
指示器屏蔽的核心机制十分简洁。反编译后的回调函数核心逻辑如下:
图3:HiddenDot 回调函数伪代码 —— 通过 **a2 = 0 操作将 self 指针置空
在汇编语言层面,上述逻辑仅需一条 STR XZR 指令即可实现,该指令的作用是将线程状态寄存器的值置零。
图 4:HiddenDot 回调函数汇编代码 ——STR XZR, [X8] 指令将线程状态中的 x0 寄存器置零
该技术利用了 Objective-C 语言的一项核心特性:向空对象(nil)发送消息时,系统会自动忽略该消息,且不会产生任何报错。
2.2.3 实现原理
在 ARM64 架构中,函数调用遵循特定约定,self 指针会被存储在 x0 寄存器中。当系统调用 Objective-C 方法时,例如:
[SBSensorActivityDataProvider _handleNewDomainData:newData]寄存器的赋值情况如下:
x0 = self(即 SBSensorActivityDataProvider 类的实例对象) x1 = _cmd(即方法选择器) x2 = newData(即传递的域数据参数)
Predator 在该方法执行前,将 x0 寄存器的值置为 0(即空指针),此时上述方法调用就会变为:
[nil _handleNewDomainData:newData]在 Objective-C 语言中,该调用会直接返回空值(nil/0),且不会执行方法内的任何代码。传感器活动状态的更新请求会被静默丢弃,SpringBoard 进程无法获知摄像头或麦克风已被激活,因此不会显示任何指示器。
2.2.4 Hook函数返回值
回调函数返回值为 2,该值在 DMHooker 框架的异常挂钩系统中,表示 “使用修改后的线程状态继续执行程序”。返回值的完整枚举定义如下:
2.2.5 单一Hook函数实现双重屏蔽
本研究的一项关键发现是:这一个Hook函数即可同时屏蔽绿色(摄像头)和橙色(麦克风)两种指示器。SBSensorActivityDataProvider 类的作用是,在将传感器活动信息分发至用户界面层之前,对所有传感器的活动状态进行汇总。
因此,通过拦截_handleNewDomainData: 方法,Predator 可利用一个Hook函数,实现对所有类型传感器状态更新的拦截。
这种实现方式比在无效代码中发现的另一种方案更高效。黑鸟认为主要原因在于下面的废弃方案需要为每种指示器分别设置Hook函数。
2.2.6 无效代码:被弃用的技术方案
在分析过程中,还发现了一个名为 CSWatcherSpawner::TestHooker () 的函数。
该函数实现了另一种指示器屏蔽机制,直接Hook SBRecordingIndicatorManager 类:
图 5:TestHooker () 函数中的无效代码展示了被弃用的 SBRecordingIndicatorManager 挂钩方案 —— 该函数无任何交叉引用
该函数不存在任何交叉引用,即从未被调用过。这表明它是一个开发 / 测试阶段的代码,最终被更简洁高效的 SBSensorActivityDataProvider 挂钩方案所取代。
被弃用的技术方案需要满足以下条件:
需要设置两个独立的Hook函数,每种方法对应一个; 需要直接对指示器的可见性进行操控; 可能会与显示系统产生竞争条件问题。
而最终投入使用的_handleNewDomainData: 方法挂钩方案更为简洁,它从数据源层面直接阻断状态更新,而非在用户界面层进行干预。
2.3 网络电话(VoIP)录音模块
VoIP 录音模块不具备指示器屏蔽功能,仅对音频处理函数进行挂钩:
图 6:
Voip::setupHooks () 函数挂钩 AudioConverterNew 和 AudioConverterConvertComplexBuffer+52 方法 —— 无任何指示器屏蔽相关代码
该模块的音频捕获流程具体如下:
通过缓冲区大小检测音频采样率,支持 16kHz、24kHz、32kHz、44.1kHz、48kHz; 利用 NEON 单指令多数据(SIMD)指令,将 32 位浮点型脉冲编码调制(PCM)音频数据转换为 16 位整型; 将 4 声道音频下混为立体声; 通过 ExtAudioFileWrite () 函数将音频数据写入文件。
但该模块未包含任何屏蔽橙色麦克风指示器的代码。这一设计意味着,需要先执行一次全局指示器屏蔽操作,之后 VoIP 录音功能及可能的摄像头捕获功能,才能在不触发可见指示器的情况下运行。
2.4 CameraEnabler 模块:摄像头调用的 PAC 绕过技术
CameraEnabler 模块采用了另一种技术手段 —— 指针认证码(PAC)重定向。
2.4.1 基于模式匹配的目标定位
该模块并未对已知符号进行挂钩,而是通过 ARM64 指令模式匹配技术,定位目标函数的地址:
图 7:CameraEnabler::findFunctionAddress () 函数利用 memmem () 函数,在 FigVideoCaptureSourceCreateWithSourceInfo 函数附近搜索 ARM64 指令头模式
这种技术可让 Predator 间谍软件定位到未导出的内部函数,使Hook函数能够有效应对 iOS 系统更新。即使系统对函数名称或导出结构进行调整,该技术依然有效。
2.4.2 Hook回调函数:条件性 PAC 重定向
CameraEnabler 模块的回调函数会检查 x0 寄存器的值,并根据检查结果执行条件性重定向操作:
关键术语解释
- SpringBoard
定义:iOS 系统的主屏幕及用户界面控制进程,负责管理设备的主屏幕显示、应用启动及状态栏指示器等功能。 - SBSensorActivityDataProvider
定义:iOS 私有框架中的类,负责汇总设备传感器的活动状态信息,并将其分发至用户界面层,是录制指示器功能的核心数据来源。 - 钩子函数(Hook)
定义:一种代码注入技术,通过修改目标函数的执行流程,在函数执行前、执行中或执行后插入自定义代码,实现对函数行为的拦截或修改。 - Objective-C 空消息传递
定义:Objective-C 语言的特性,向空对象(nil)发送消息时,系统不会执行任何操作,也不会抛出异常,仅会返回空值。 - 指针认证码(PAC,Pointer Authentication Code)
定义:ARM64 架构中的安全机制,通过为指针添加加密认证码,防止指针被篡改,抵御代码注入和重定向攻击。 - DMHooker
定义:一款基于 Mach 异常的挂钩框架,可在不修改目标函数代码的情况下,实现对函数执行流程的拦截。 - NEON SIMD
定义:ARM 架构中的高级单指令多数据扩展指令集,可并行处理多个数据元素,提升音频、视频等数据的处理效率。 - 守护进程(Daemon)
定义:运行在后台的系统进程,负责执行特定的系统服务功能,无用户界面。 - 脉冲编码调制(PCM,Pulse Code Modulation)
定义:一种将模拟音频信号转换为数字信号的编码方式,是数字音频的基础格式。 - 竞争条件(Race Condition)
定义:多进程或多线程并发执行时,由于执行顺序不确定,导致程序输出结果异常的问题。
由于原文已经被删除(未知原因),因此内容仅供参考,为避免内容流失,特此整理记录。
https://www.jamf.com/blog/predator-spyware-ios-recording-indicator-bypass-analysis/
