Seleccione su idioma

Ver lo que el MTD no puede: detección de spyware desconocido de Estado-nación en los datos de diagnóstico del sistema iOS

Jue 28 ,16:10:00 - 16:30:00 | RootedCON - ROOTED

Ver lo que el MTD no puede: detección de spyware desconocido de Estado-nación en los datos de diagnóstico del sistema iOS

Numbers Station aborda la detección de amenazas móviles sofisticadas desde una perspectiva radicalmente distinta: en lugar de depender de firmas o de agentes instalados en el dispositivo, recopilamos artefactos nativos de diagnóstico de iOS (sysdiagnose) procedentes de un gran número de dispositivos únicos y los empleamos para construir una línea base estadística de lo "normal" en todo el parque de dispositivos. Cualquier entrada que se desvíe de esa línea base —un proceso inesperado, un hilo no reconocido, un patrón anómalo de usuario o de acceso— se marca automáticamente para su revisión y análisis manual por parte de expertos. La clave está en el acceso: dado que el sandboxing de iOS aísla las aplicaciones y niega a las herramientas de seguridad de terceros toda visibilidad sobre la lista de procesos en ejecución, los nombres de los hilos, los contextos de usuario y el estado a nivel de sistema, los productos convencionales de Mobile Threat Defense (MTD) son, en la práctica, ciegos ante esta capa. El archivo sysdiagnose es la única vía de acceso a esa telemetría profunda sin modificar ni hacer jailbreak al dispositivo y, al compararlo con una línea base de confianza a gran escala, podemos sacar a la luz amenazas dirigidas y completamente desconocidas que cualquier otra solución pasa por alto.

 

#############

Seeing what MTD can't: detecting unknown nation-state spyware in iOS system diagnostic data

Numbers Station takes a fundamentally different approach to detecting sophisticated mobile threats: rather than relying on signatures or on-device agents, we collect native iOS diagnostic artifacts (sysdiagnose) from large numbers of unique devices and use them to build a statistical baseline of "normal" across the fleet. Any entry that deviates from that baseline—an unexpected process, an unrecognized thread, an anomalous user or access pattern—is automatically flagged for manual expert review and analysis. The key insight is access: because iOS sandboxing isolates apps and denies third-party security tools any visibility into the running process list, thread names, user contexts, and system-level state, conventional Mobile Threat Defense products are effectively blind to this layer. The sysdiagnose file is the only path to that deep telemetry without modifying or jailbreaking the device, and by comparing it against a known-good baseline at scale, we can surface entirely unknown, targeted threats that every other solution misses.

Ponente(s):

No module Published on Offcanvas position