挑戰
Predator 商業間諜軟體植入後,能透過攔截系統訊息的手法隱藏 iOS 的橘點與綠點隱私指示燈,讓麥克風、相機被秘密啟用時完全不留痕跡,使用者和傳統資安工具都無法察覺。
解決方案
透過 Jamf Executive Threat Protection 的深度行動裝置鑑識分析,監控系統程序的異常記憶體映射、例外埠異常、執行緒狀態,以及出現無指示燈的感測器活動,從系統底層識別間諜軟體的隱身行為。
成果
研究確認 Predator 僅需一個系統掛鉤即可同時隱藏橘點(麥克風)與綠點(相機)指示器,且在 VoIP 情境下尚有盲區。Jamf Executive Threat Protection 可從底層系統遙測偵測此類異常,是目前 iPhone 上少數有效的對應工具。
橘點消失了:Predator 間諜軟體如何讓 iPhone 靜悄悄監聽你
從 iOS 14 開始,Apple 加入了一個簡單卻直覺的隱私保護機制:每當有 App 啟動麥克風,手機右上角就會出現一個橘色小點;如果相機也被開啟,就會換成綠色小點。這不是 App 能控制的東西,而是作業系統直接強制顯示的,沒有任何 App 能把它藏起來。
理論上如此。但 Predator 辦到了。
Predator 是什麼?
Predator 是由歐洲公司 Intellexa(前身為 Cytrox)開發的商業間諜軟體,以合法監控工具之名販售給政府與情報機構。然而,Citizen Lab、國際特赦組織科技安全實驗室,以及 Jamf Threat Labs 的研究都記錄了它被用來監控記者、反對派政治人物與公民社會人士的案例。
Predator 被確認曾用於監控:
- 歐洲議會希臘籍議員
- 埃及反對派人士
- 多國記者
- 外交官
這和以色列 NSO 集團開發的 Pegasus 屬於同一等級,是精密度極高、費用昂貴、通常由國家級行為者針對高價值目標部署的武器級間諜軟體。
這次的新發現:連指示燈都能藏起來
Jamf Threat Labs 的研究人員公布了一項令人不安的技術分析:Predator 內建了一套專門用來壓制 iPhone 橘點與綠點隱私指示燈的機制。
用最直白的話說是什麼意思?
想像這個場景:
你在開一場機密會議,iPhone 反扣在桌上。你不知道的是,Predator 早就已經植入你的裝置。攻擊者遠端啟動你的麥克風。
正常情況下,橘點應該亮起,你一眼就看到了。
但如果 Predator 的指示燈壓制功能已經啟動——橘點根本不會出現。 麥克風是開著的,會議室裡的每一句話都正在被傳送出去,而你完全不知道。
技術手法:把火警警報拔掉
Apple 的隱私指示燈是由一個叫 SpringBoard 的系統程序負責顯示——就是管理你主畫面的那個程序。每當有 App 啟動麥克風或相機,系統就會發送一則訊息給 SpringBoard:「請顯示指示燈。」
Predator 在這則訊息的源頭將它攔截並丟棄。就像縱火之前先把煙霧偵測器拔掉——火是真實的,但警報永遠不會響。
更值得注意的是,研究人員發現 Predator 只需要一個攔截點,就能同時壓制橘點(麥克風)和綠點(相機)。這種精準程度,代表開發者對 iOS 的底層架構有極深的理解。
為什麼這件事特別危險?
那兩個小點,曾是你最後的防線
在一支已被入侵的 iPhone 上,很多傳統防護早就失效了:
- iPhone 上無法安裝防毒軟體或 EDR 端點防護工具
- iOS 的沙盒機制讓資安軟體無法深入檢測
- 不會有任何看起來可疑的「異常安裝程式」
橘點和綠點,曾經是使用者所剩不多、能夠親眼看到的警示訊號。Predator 專門把這個訊號消除。
這是「入侵之後」的能力
說清楚一件事:Predator 無法憑空遠端安裝自己,它必須先透過漏洞取得裝置存取權,才能植入並啟動指示燈壓制功能。
但這不代表風險降低,因為這意味著:
- 你不會知道自己已被入侵——就算你一直盯著看,橘點也不會出現
- 攻擊者可以無限期監控你——唯一的視覺警告已被清除
- 就算你很謹慎也沒用——知道橘點的存在,已經不夠了
VoIP 通話:一個小小的例外
研究人員發現了一個 Predator 壓制能力的小盲區:透過 VoIP 協定進行的網路電話,由於走不同的系統路徑,在這類情境下指示燈有可能仍然出現。
但這只是少數例外。對大多數監控場景來說——在會議室環境中收音、監聽一般電話、啟動相機——壓制功能都是有效的。
誰是攻擊目標?
這類攻擊的部署成本極高,不是用來隨機攻擊一般使用者的。目標是高價值人士:
企業高層
- 掌握未公開併購案、商業機密或重大決策的主管
- 討論內容可能影響市場的董事會成員
- 參與敏感談判的法務、財務核心人員
政府與公務體系
- 政治人物與高階官員
- 外交人員與情治人員
- 執法機關高層
特定產業從業者
- 半導體、國防、生技領域的研究人員
- 調查記者與編輯
- 人權律師與倡議工作者
為什麼這些人是目標?
一套完整的 iPhone 間諜軟體植入方案在市場上的代價可高達數百萬美元。對攻擊者來說,投資報酬來自:
- 可以用於競爭優勢的機密商業情報
- 尚未公開的政策資訊
- 消息來源、調查細節、案件策略
- 即時掌握重大談判的進展
更大的問題:iPhone 的資安盲點
這份研究揭示了一個企業與政府機構共同面對的結構性挑戰。
你的組織可能已經做到:
- ✓ 每台電腦都安裝 EDR 端點防護
- ✓ 部署 SIEM 監控網路活動
- ✓ 定期進行弱點評估
- ✓ 所有帳號實施多因素驗證
但 CEO 口袋裡那支 iPhone:
- ✗ 無法安裝防毒軟體或 EDR
- ✗ 無法以標準工具深入掃描
- ✗ 無法對其程序進行即時監控
- ✗ 隱私指示燈現在確認可被壓制
那支手機裡存放著機密 Email、高層主管群組對話、與客戶供應商的敏感協商、所有企業系統的雙因素驗證碼,還有可能尚未對外公告的重大決策。
它可能是整個企業資安架構中價值最高、同時也最難防守的目標。
你可以採取的防護措施
高風險人士:開啟封閉模式
Apple 的**封閉模式(Lockdown Mode)**透過關閉一些常被用於精密攻擊的功能,大幅提高攻擊難度。
- 設定 → 隱私權與安全性 → 封閉模式
- 代價:部分網頁功能與訊息附件類型會受到限制
- 對企業高層、政府官員、記者來說:這個取捨是值得的
企業:不能再把橘點當作偵測手段
這份研究的指示燈壓制發現,代表企業不應該把「使用者有沒有看到橘點或綠點」當作偵測依據。
真正的偵測必須在更底層的地方發生——透過系統遙測、記憶體分析,以及使用者看不到的行為訊號來識別入侵跡象。
基本資安習慣
- 有 iOS 更新就立即安裝,不要拖延
- 不要點擊不明連結,即使看起來是朋友傳來的
- 敏感業務避免使用公共 Wi-Fi
- 不要使用來路不明的充電器或配件
- 留意手機異常:突然耗電、不明原因發熱、流量異常增加
可立可怎麼幫你
透過 Jamf Executive Threat Protection 解決方案,可立可提供 Apple 行動裝置深度鑑識能力。JETP 不依賴指示燈等視覺訊號,而是從系統層級分析遙測資料——包括記憶體映射異常、例外埠、以及程序行為——來偵測符合 Predator 等間諜軟體特徵的入侵跡象。
這套方法在以下情況依然有效:
- 所有可見指示燈都已被壓制
- 裝置外觀與使用體驗完全正常
- 攻擊者已嘗試清除痕跡
歡迎聯繫我們,了解如何保護你的高階主管與重要人員。
關於可立可 KlickKlack
可立可是臺灣唯一同時具備 Jamf MSP 與 Elite Partner 雙重資格的夥伴,提供 Apple 裝置完整的企業管理與資安解決方案。