Snowblind Mobile pahavara

Uudne Androidi pahavara, mida jälgitakse nimega Snowblind, kasutab turvafunktsiooni, et minna mööda senistest rikkumisvastastest kaitsetest rakendustes, mis haldavad tundlikke kasutajaandmeid. Snowblindi eesmärk on sihtrakendused ümber pakkida, et nad ei saaks tuvastada juurdepääsetavuse teenuste väärkasutust. See võimaldab pahavaral hõivata kasutaja sisestusi, nagu mandaadid, või saada pahatahtlike toimingute tegemiseks kaugjuhtimispulti.

Snowblindi eristab muust Androidi pahavarast selle Linuxi tuuma funktsiooni „seccomp” (turvaline andmetöötlus) ärakasutamine, mida Android kasutab rakenduste terviklikkuse kontrollimiseks. See funktsioon on mõeldud kasutajate kaitsmiseks ebaturvaliste toimingute eest, nagu rakenduste ümberpakendamine.

Turvafunktsioonide kasutamine seadmete ohustamiseks

Snowblindi analüüs paljastab selle uuendusliku meetodi Androidi rakenduste ründamiseks Linuxi kerneli funktsiooni "seccomp" abil. Seccomp on turvamehhanism, mis piirab süsteemikutsete (syscalls) rakenduste sooritamist, vähendades seeläbi nende rünnakupinda. Algselt Google'i poolt Android 8-sse (Oreo) integreeritud seccomp rakendati Zygote'i protsessis, mis on kõigi Androidi rakenduste põhiprotsess.

Snowblind sihib konkreetselt tundlikke andmeid töötlevaid rakendusi, sisestades algteegi, mis laaditakse enne rikkumisvastaseid mehhanisme. See installib seccomp-filtri, et peatada süsteemikutsed, näiteks "open()", mida tavaliselt kasutatakse failidele juurdepääsuks. Sihtrakenduse APK võltsimise kontrollimise ajal takistab Snowblindi seccomp-filter volitamata syscall-kõnesid ja käivitab SIGSYS-signaali, mis näitab kehtetut syscall-argumenti.

Tuvastamisest kõrvalehoidmiseks installib Snowblind SIGSYS-i jaoks signaalikäitleja. See töötleja kontrollib ja muudab lõime registreid, võimaldades pahavaral manipuleerida 'open()' syscalli argumentidega. Teadlased selgitavad, et see manipuleerimine suunab rikkumisvastase koodi ümber, et vaadata APK muutmata versiooni.

Tänu oma sihipärasele lähenemisele avaldab seccomp-filter minimaalset mõju jõudlusele ja tööjalajäljele, mistõttu on ebatõenäoline, et kasutajad avastaksid tavapärase rakenduse kasutamise ajal kõrvalekaldeid.

Snowblind võimaldab ründajatel sooritada mitmesuguseid kahjulikke toiminguid

Snowblindi rünnakutes kasutatav meetod näib olevat suhteliselt tundmatu ja teadlased näitavad, et enamik rakendusi pole selle vastu kaitsmiseks varustatud. Seda tüüpi rünnak toimib diskreetselt, kujutades endast märkimisväärset ohtu sisselogimismandaatide kahjustamiseks. Lisaks on pahavaral võimalik keelata rakenduse kriitilised turvafunktsioonid, nagu kahefaktoriline autentimine ja biomeetriline kinnitamine.

Ründajad saavad seda tehnikat kasutada, et pääseda ligi tundlikule ekraaniteabele, navigeerida seadmetega, manipuleerida rakendustega ja vältida turvaprotokolle, automatiseerides toiminguid, mis tavaliselt nõuavad kasutaja sekkumist. Lisaks saavad nad välja võtta isikut tuvastavat teavet ja tehinguandmeid.

Snowblindi rünnakukampaania mõju rakendustele jääb ebaselgeks. Lisaks on mures, et teised ohus osalejad võivad selle meetodi kasutusele võtta, et tulevikus Androidi kaitsest kõrvale hiilida.