苹果iOS16系统曝漏洞，可制造假飞行模式实现隐形蜂窝访问

最新的网络安全观察中，网络安全研究人员在 iOS 16 上记录了一种新颖的利用后持久性技术，该技术可能被滥用以在雷达下飞行并保持对 Apple 设备的访问，即使受害者认为该设备处于离线状态。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理，该方法欺骗受害者认为其设备处于飞行模式，而实际上攻击者（在成功利用设备后）植入了人造飞行模式，该模式编辑 UI 以显示飞行模式图标并切断与除攻击者应用程序之外的所有应用程序的互联网连接。

飞行模式，顾名思义，允许用户关闭设备中的无线功能，有效阻止他们连接到 Wi-Fi 网络、蜂窝数据和蓝牙以及发送或接收电话和短信。

简而言之，该攻击方法为用户提供了飞行模式已打开的错觉，同时允许恶意行为者秘密地为恶意应用程序维护蜂窝网络连接。

当用户打开飞行模式时，网络接口pdp_ip0（蜂窝数据）将不再显示 ipv4/ipv6 IP 地址。蜂窝网络已断开且无法使用，至少在用户空间级别是如此。

虽然底层更改由CommCenter执行，但用户界面 (UI) 修改（例如图标转换）由 SpringBoard 负责。

那么，攻击的目标是设计一种人工飞行模式，保持 UI 更改不变，但为通过其他方式传递和安装在设备上的恶意负载保留蜂窝连接。

极牛攻防实验室表示，在没有 Wi-Fi 连接的情况下启用飞行模式后，用户会认为打开 Safari 会导致无法连接到互联网。典型的体验是提示用户‘关闭飞行模式’的通知窗口。

为了实现这个诡计，CommCenter 守护进程被用来阻止特定应用程序的蜂窝数据访问，并通过挂钩函数将其伪装成飞行模式，该函数将警报窗口更改为看起来像是该设置已打开。

值得注意的是，操作系统内核通过回调例程通知 CommCenter，后者又通知 SpringBoard 显示弹出窗口。

对 CommCenter 守护程序的仔细检查还发现存在一个 SQL 数据库，该数据库用于记录每个应用程序的蜂窝数据访问状态（也称为捆绑 ID），如果应用程序被阻止，则该标志设置为值“8”访问它。

使用已安装应用程序包 ID 的数据库，我们现在可以有选择地阻止或允许应用程序访问 Wi-Fi 或蜂窝数据。当与上述其他技术相结合时，假飞行模式现在看起来就像真飞行模式一样，只是互联网禁令不适用于后门木马等非应用程序进程。