NoReboot恶意软件让iPhone假装关机该技术直接模拟用户iPhone设备关机时的情况。专家表示,普通用户不会认真区分真关机和“假关机”。“NoReboot”通过将恶意代码注入三个后台进程InCallService、SpringBoard和backboardd来工作,这三个进程负责iPhone的重启过程。一旦攻击者劫持了重启过程,iPhone就会向用户显示为已关机,但实际上是完全清醒并已连接到互联网。在“假关机”之后,攻击者可以悄悄地远程访问用户手机的麦克风和摄像头,并在iPhone重新开机时继续这样做。这意味着即使用户重启手机,也不会影响恶意软件的运行。Zecops发布了该技术的相关分析报告,指出他们通过hookObjective-C方法[FBSSystemServiceshutdownWithOptions:]劫持了信号。这种方式不是向SpringBoard发送关闭信号,而是通知SpringBoard和backboardd触发注入的代码。在backboardd中,研究人员将隐藏旋转动画,只要SpringBoard停止运行[BKSDefaultslocalDefaults]setHideAppleLogoOnLaunch:1],旋转动画就会自动出现。然后他们让SpringBoard退出并阻止它再次启动。由于SpringBoard负责响应用户的操作和行为,一旦不再响应,iPhone就如同关机一样。具体过程如下图所示。攻击者可以将他们的代码注入上述组件的进程并禁用任何物理反馈,模拟iPhone在用户尝试按下音量和电源按钮关闭设备时关闭。被禁用的物理反馈如下:来电铃声和消息通知触摸反馈(3Dtouch)振动屏摄像头指示灯部分功能仍然完好,可以连接互联网,让攻击者可以监控用户。目前该技术已经进行了PoC测试,安全专家已经发布了PoC测试视频,详细展示了攻击者如何通过摄像头和麦克风监控受害者。参考来源:https://securityaffairs.co/wordpress/126358/hacking/noreboot-persistence-iphone.html
