iPhoneのシャットダウンを偽装すると、マルウェアが再起動しても生き残る可能性がある

セキュリティ研究者らは、iPhone のシャットダウンを偽装する新しい手法を開発した。これにより、iOS の再起動後でもマルウェアが存続する可能性がある。

通常、iPhoneを再起動すると悪意のあるコードは消去されます。しかし、ZecOpsの研究者が「NoReboot」と名付けたセキュリティ手法により、iPhoneマルウェアが永続化したり、再起動後も生き残ったりする可能性があります。

この手法は、iPhoneの電源がオフになったと偽装し、ユーザーにデバイスの電源がオフになったと信じ込ませるものです。攻撃者がこのトリックを成功させれば、マルウェアはデバイス上で動作し続ける可能性があり、さらに、ユーザーに知られることなくiPhoneのカメラとマイクを使ってスパイ活動を行う可能性もあります。

「NoReboot」は、iPhone の再起動プロセスを担当する 3 つのバックグラウンド プロセス (InCallService、SpringBoard、backboardd) に悪意のあるコードを挿入することで機能します。

攻撃者が再起動プロセスを乗っ取ると、iPhoneはユーザーからは電源が切れているように見えますが、実際には完全に起動しており、インターネットに接続されています。これにより、攻撃者はユーザーに気づかれることなく、ほぼあらゆる操作を実行できるようになります。

このプロセスは逆方向にも機能します。「NoReboot」は、偽の起動プロセスや起動プロセスを表示して、iPhoneが実際に再起動されたとユーザーに信じ込ませます。

「NoReboot」という手法は実際にはバグを悪用するものではないため、パッチは存在しません。ZecOpsの研究者によると、この問題を修正するには、AppleがiPhoneの電源オン/オフ状態を表示するハードウェアベースのインジケーターを組み込む必要があるとのことです。

「NoReboot」はマルウェアではありませんが、検出を回避し、iOS デバイス上で永続的に存在し続ける方法として、悪意のあるアプリケーションにこの技術が組み込まれる可能性があります。

誰が危険にさらされているのか、そして自分を守るにはどうすればよいのか

前述の通り、「NoReboot」はパッチを当てることができません。さらにZecOpsによると、この手法はiOSのどのバージョンでも動作するあらゆるiPhoneモデルで実行可能です。

iPhoneユーザーは、App Storeから信頼できるアプリのみをダウンロードすることで、自分自身を守ることができます。また、ZecOpsが作成したツールなど、iPhoneが侵害されているかどうかを確認できるツールもあります。