Predator ukrywa aktywność kamery i mikrofonu w iOS. Nowe ustalenia badaczy

Predator ukrywa aktywność kamery i mikrofonu w iOS. Nowe ustalenia badaczy

Oprogramowanie szpiegujące Predator, opracowane przez firmę Intellexa, potrafi skutecznie ukrywać przed użytkownikiem iPhone’a fakt nagrywania obrazu i dźwięku. Najnowsza analiza pokazuje, że spyware przechwytuje mechanizmy systemowe odpowiedzialne za wyświetlanie wskaźników prywatności w iOS, dzięki czemu aktywność kamery i mikrofonu pozostaje niewidoczna.

Bez exploita, ale z dostępem do jądra systemu

Co istotne, Predator nie wykorzystuje nowej podatności w iOS. Zamiast tego bazuje na wcześniej uzyskanym dostępie na poziomie jądra systemu (kernel), który pozwala mu manipulować kluczowymi elementami interfejsu.

Firma Apple wprowadziła w systemie iOS 14 charakterystyczne wskaźniki prywatności — zieloną kropkę informującą o użyciu kamery oraz pomarańczową sygnalizującą aktywność mikrofonu. Ich celem było zwiększenie przejrzystości i kontroli użytkownika nad aplikacjami korzystającymi z wrażliwych sensorów.

Z ustaleń badaczy wynika jednak, że Predator potrafi całkowicie zablokować wyświetlanie tych powiadomień.

Jak działa mechanizm ukrywania nagrywania?

Analizę próbek spyware przeprowadzili eksperci z firmy Jamf, specjalizującej się w zarządzaniu urządzeniami mobilnymi. Z ich raportu wynika, że Predator wykorzystuje pojedynczą funkcję typu „hook”, osadzoną w procesie SpringBoard — kluczowym komponencie systemu iOS odpowiedzialnym za obsługę ekranu głównego i elementów interfejsu.

Mechanizm przechwytuje wywołanie metody uruchamianej za każdym razem, gdy zmienia się stan czujników (np. włącza się kamera lub mikrofon). W efekcie informacja o aktywności nie dociera do warstwy odpowiedzialnej za wyświetlenie kropki na pasku stanu.

Badacze wyjaśniają, że spyware „wyzerowuje” obiekt odpowiedzialny za przekazywanie danych o aktywności sensorów. W środowisku Objective-C operacje wykonywane na obiekcie o wartości null są ignorowane, co sprawia, że system nie rejestruje zmiany stanu i nie pokazuje żadnego ostrzeżenia.

Ponieważ jeden komponent odpowiada za agregowanie wszystkich danych o aktywności sensorów, pojedynczy hook wystarcza, by wyłączyć zarówno wskaźnik kamery, jak i mikrofonu.

Ślady pozostają – ale niewidoczne dla użytkownika

Choć dla przeciętnego użytkownika aktywność spyware pozostaje całkowicie ukryta, analiza techniczna pozwala wykryć pewne anomalie. Należą do nich m.in.:

nietypowe mapowania pamięci w procesach systemowych,
dodatkowe porty wyjątków,
hooki oparte na breakpointach,
pliki audio zapisywane w niestandardowych lokalizacjach.

Predator był w przeszłości wykorzystywany w kampaniach wykorzystujących luki typu zero-day oraz mechanizmy infekcji bez interakcji użytkownika (tzw. 0-click).

Serwis BleepingComputer poinformował, że zwrócił się do Apple z prośbą o komentarz w sprawie ustaleń Jamf, jednak firma nie udzieliła odpowiedzi.

Sprawa ponownie podnosi pytania o skuteczność systemowych zabezpieczeń prywatności oraz skalę zagrożeń związanych z komercyjnym oprogramowaniem szpiegującym wykorzystywanym przez podmioty państwowe i prywatne.


24.02.2026

Predator spyware, Intellexa Predator, spyware iOS, ukrywanie nagrywania iPhone, iOS wskaźnik kamery, iOS wskaźnik mikrofonu, zielona kropka iPhone, pomarańczowa kropka iPhone, bezpieczeństwo iOS, szpiegowanie iPhone, jak Predator ukrywa aktywność kamery w iOS, jak wyłączyć wskaźnik nagrywania iPhone (w kontekście zagrożenia), spyware ukrywające nagrywanie mikrofonu, iOS 14 wskaźniki prywatności obejście, komercyjne oprogramowanie szpiegujące iPhone, zero-click spyware iOS, zagrożenia prywatności iPhone 2026, SpringBoard iOS, hookowanie iOS, kernel access iOS, SBSensorActivityDataProvider, SBRecordingIndicatorManager, ARM64 pattern matching, Pointer Authentication Code PAC, mediaserverd iOS