研究者らは、新たなiPhoneスパイウェアに関する警告を発した。Intellexaのスパイウェア「Predator」(プレデター)が、iOSのカメラおよびマイクの録画・録音インジケーターを抑制できることを突き止めたためだ。
iOS 14以降では、iPhoneアプリがカメラまたはマイクにアクセスすると、オレンジまたは緑のドットをダイナミックアイランド内に表示している。この重要なプライバシー機能は、ユーザーが潜在的な監視に気付けるよう設計されている。
だが、サイバーセキュリティ企業Jamfの研究者フー・ケとニル・アブラハムによる研究によれば、この商用スパイウェアは、インジケーターの仕組みが使うセンサー活動を画面表示(UI)層に到達する前に傍受し、iPhoneのオレンジと緑のドット表示を抑制するという。
これは、スパイウェアに関する警告が相次いだ流れの中での指摘だ。最近では、アップルの警告の後にiOS 26.2のアップデートが配信され、旧端末向けにiOS 18.7.3も提供された。現行版はiOS 26.3で、これにも独自のスパイウェア警告が付随していた。
本研究では、PredatorがiOSの非公開フレームワークやARM64の技術をどう悪用するかを詳細に記録している。そこには、命令パターンマッチングや、隠密なカメラアクセスに用いられるポインタ認証コード(PAC)のリダイレクションといった手法が含まれる。
オレンジ(原文の一部では赤)と緑のインジケーターはステータスバーに表示され、正規のアプリケーションでは抑制できない。これらは、iOSのホーム画面とUI制御を担うプロセスであるSpringBoardが、センサー活動を監視する非公開フレームワークのクラスを通じて管理している。
Predatorスパイウェア、iPhoneのオレンジと緑のドットを同時に無効化
Predatorスパイウェアをリバースエンジニアリングした結果、研究者らは、1か所の傍受ポイントで緑のカメラドットとオレンジのマイクドットの両方を同時に無効化できることを突き止めた。
詳細な分析の中で研究者らは、Predatorがメソッド実行前に重要なオブジェクトのObjective-CのselfポインタをNULL(空値)に設定する手法を明らかにした。これにより、録音・録画状態の変化が「エラーもUI更新も発生させることなく、静かに破棄される」のである。
PredatorのVoIP録音モジュールには独自のインジケーター抑制ロジックが含まれておらず、あらかじめインジケーター抑制モジュールが有効化されていることに依存している。
研究によれば、Predatorは端末のシャットダウンを装うのではなく、端末は完全に動作したまま、録画・録音インジケーターだけを選択的に抑制する。つまり、監視が行われていても視覚的な警告は一切表示されず、気付かないうちにiPhoneが侵害されている可能性がある。
この発見は確かに懸念すべきものだが、端末が侵害されたことを示す手掛かりにもなり、専門家が兆候を見分けてステルス性の高いマルウェアに対抗する助けにもなる。研究者らは「これらの発見は、既存の脅威インテリジェンスの空白を埋め、商用スパイウェアがiOSのプライバシー保護を回避するために用いる高度な手法を示しています」と述べている。
しかし、iPhoneユーザーにとってはそう単純ではない。オレンジまたは緑のドットは、端末が知らないうちにカメラやマイクを作動させられていることを示す信頼できるサインではなくなったが、ほかにも注意すべき手掛かりはある。
iPhoneがスパイウェアの標的になった可能性を示す兆候
iPhoneがスパイウェアの標的になった可能性を示す兆候としては、端末が過熱したり動作が遅くなったりすること、あるいはダウンロードした覚えのない新しいアプリが突然現れることなどが挙げられる。スパイウェアはiPhoneの電源を切って入れ直すことで妨害できる場合があるが、それは一時的にすぎない。侵害が疑われる場合は、使用を完全に中止するべきだ。
