文章总结： Jamf研究显示Predator间谍软件通过Hook系统数据方法并置空self指针，成功绕过iOS摄像头与麦克风指示灯机制实现隐蔽监控。该技术利用Objective-C特性且能绕过PAC机制。虽针对高价值目标，但证实了操作系统并非绝对安全，用户需保持警惕。 综合评分： 85 文章分类： 移动安全,恶意软件,漏洞分析,逆向分析

iPhone隐私指示灯成摆设？Predator间谍软件通过Hook完美隐身

原创

玄月调查小组 玄月调查小组

玄月调查小组

2026年2月1日 19:38 上海

自从 iOS 14 发布以来，屏幕右上角的“小绿点”（摄像头开启）和“小橙点”（麦克风开启）就成了用户判断是否被偷拍偷录的指示器。然而，来自 Jamf Threat Labs 的最新研究显示，恶名昭彰的商业间谍软件 Predator 已经能够从系统底层“抹除”这些指示灯，让用户在完全不知情的情况下被全方位监控。

昔日“隐私防线”遭降维打击

在 iOS 14 之前，用户很难察觉 App 是否在后台偷偷调用摄像头或麦克风。苹果为此引入了系统级的指示灯机制：只要有传感器被激活，SpringBoard（iOS 的桌面管理进程）就会在状态栏显示相应的颜色圆点。

然而，由 Intellexa/Cytrox 开发的 Predator 间谍软件打破了这一防线。与之前的“NoReboot”技术（模拟手机关机假象来进行偷录）不同，Predator 更加狡猾且隐蔽：它不需要伪装关机，而是让手机在正常使用状态下，精准地抑制指示灯的触发。这意味着，你的手机看起来一切正常，实际上摄像头和麦克风可能悄然运转。

技术揭秘：简单而致命的“置空”攻击

Jamf 的安全研究员对 Predator 的 iOS 样本进行了逆向，发现其核心模块 HiddenDot 使用了一种虽然简单但极具杀伤力的技术手段。

1. 擒贼先擒王：Hook 数据源头

Predator 并没有试图去修改 UI 界面（太容易出错），而是直接瞄准了数据源头。它在 iOS 的 SpringBoard 进程中，对 SBSensorActivityDataProvider 类的 _handleNewDomainData: 方法进行了 Hook。

这个方法原本是 iOS 用来接收传感器状态变更通知的“总闸”。一旦摄像头或麦克风状态改变，系统都会调用这个方法。

2. 利用 Objective-C 特性“静默”系统

Predator 的攻击逻辑利用了 Objective-C 语言的一个基础特性：向 nil（空对象）发送消息会被系统静默忽略，而不会导致崩溃。

研究人员在反汇编代码中发现，Predator 的 Hook 回调函数中有一条关键的汇编指令：STR XZR, [X8]。这条指令的作用是将线程状态中的 x0 寄存器（在 ARM64 架构中用于存放 self 指针）写入 0。

简单来说，Predator 在系统准备更新状态栏指示灯之前，把“汇报人”变成了“空气”。 于是，原本的调用：[SBSensorActivityDataProvider _handleNewDomainData:newData]被篡改成了：[nil _handleNewDomainData:newData]

结果就是：没有任何报错，代码停止执行后续逻辑，SpringBoard 永远收不到传感器开启的通知，绿点和橙点自然也就不会亮起。

3. 一石二鸟

研究发现，这一个 Hook 点同时解决了摄像头（绿点）和麦克风（橙点）的指示问题。相比于分别去拦截不同的 UI 渲染流程，这种在数据聚合层面的拦截显得极其高效且稳定。

绕过 PAC 与“幽灵”代码

除了隐藏指示灯，Predator 在获取权限方面也展示了高超的手段。

PAC 绕过：为了绕过苹果的指针身份验证（PAC）机制，其 CameraEnabler 模块不再依赖固定的符号表，而是通过扫描 ARM64 指令模式来定位系统内部函数。这使得它能抵抗 iOS 的系统更新，即使苹果修改了函数名，只要代码结构相似，它依然能找到入口。

废弃的“笨办法”：研究人员还在样本中发现了被称为“死代码”的遗留片段。这显示开发者最初尝试过直接 Hook SBRecordingIndicatorManager（指示灯管理器），CSWatcherSpawner::TestHooker()函数零交叉引用 ——从未被调用过。似乎是已被更优雅的 SBSensorActivityDataProvider 方法取代的开发/测试代码。显然他们后来发现，直接拦截数据源头（上文提到的方法）更加干净利落。

VoIP 录音的“阿喀琉斯之踵”

虽然 Predator 的技术令人咋舌，但并非毫无破绽。研究指出，其负责 VoIP（网络通话）录音的模块本身并没有内置隐藏功能。这意味着攻击者必须先启动 HiddenDot 模块来“致盲”系统，然后才能安全地开启录音。这暴露了其模块化设计中可能存在的操作间隙。

小结

Predator 这类军用级间谍软件通常针对的是高价值目标，普通用户虽然不必过度恐慌，但这一技术细节的曝光再次证明：没有任何操作系统是绝对安全的。

参考资料：How Predator spyware defeats iOS recording indicators https://www.jamf.com/blog/predator-spyware-ios-recording-indicator-bypass-analysis/

以上，既然看到这里了，如果觉得不错，随手点个赞、在看、转发三连吧，如果想第一时间收到推送，也可以给我个星标⭐～谢谢你看我的文章，我们，下次再见。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：玄月调查小组 玄月调查小组 玄月调查小组《iPhone隐私指示灯成摆设？Predator间谍软件通过Hook完美隐身》