תוכנה זדונית ניידת של Snowblind
תוכנת זדונית חדשה של אנדרואיד, שמעקבת אחריה כ-Snowblind, מנצלת תכונת אבטחה כדי לעקוף את ההגנות הנוכחיות נגד שיבוש באפליקציות המנהלות נתוני משתמש רגישים. Snowblind שואפת לארוז מחדש את יישומי היעד כדי שלא יוכלו לזהות שימוש לרעה בשירותי נגישות. זה מאפשר לתוכנה הזדונית ללכוד קלט של משתמשים כמו אישורים או להשיג שליטה מרחוק כדי לבצע פעילויות זדוניות.
מה שמייחד את Snowblind מתוכנות זדוניות אחרות של אנדרואיד הוא הניצול שלה של 'seccomp' (מחשוב מאובטח), תכונת ליבת לינוקס המשמשת את אנדרואיד לבדיקת תקינות האפליקציה. תכונה זו נועדה להגן על המשתמשים מפני פעולות לא בטוחות כמו אריזת יישומים מחדש.
ניצול תכונות אבטחה כדי לפגוע במכשירים
ניתוח של Snowblind חושף את השיטה החדשנית שלו לתקוף יישומי אנדרואיד באמצעות ניצול תכונת ליבת לינוקס 'seccomp'. Seccomp הוא מנגנון אבטחה שמגביל את שיחות המערכת (syscalls) שיישומים יכולים לבצע, ובכך מצמצם את משטח ההתקפה שלהם. בתחילה שולבה על ידי גוגל באנדרואיד 8 (Oreo), seccomp הוטמעה בתהליך Zygote, תהליך האב עבור כל יישומי אנדרואיד.
Snowblind מכוון במיוחד ליישומים המטפלים בנתונים רגישים על ידי הזרקת ספרייה מקורית שנטענת לפני מנגנונים נגד שיבוש. הוא מתקין מסנן seccomp כדי ליירט מערכות הפעלה כמו 'open()', המשמש בדרך כלל לגישה לקבצים. במהלך בדיקות שיבוש של ה-APK של אפליקציית היעד, מסנן ה-seccomp של Snowblind מונע שיחות סיסמה לא מורשות ומפעיל אות SIGSYS, המציין ארגומנט סיסקל לא חוקי.
כדי לעקוף את הזיהוי, Snowblind מתקין מטפל איתות עבור SIGSYS. מטפל זה בודק ומשנה את הרשמים של השרשור, ומאפשר לתוכנה זדונית לתפעל את הארגומנטים של ה-Sycall 'open()'. חוקרים מסבירים שהמניפולציה הזו מפנה מחדש את הקוד נגד שיבוש לצפייה בגרסה ללא שינוי של ה-APK.
בשל הגישה הממוקדת שלו, מסנן seccomp מטיל השפעה מינימלית על ביצועים וטביעת רגל תפעולית, מה שהופך את זה לא סביר שמשתמשים יזהו חריגות במהלך שימוש רגיל באפליקציה.
עיוורון שלג מאפשר לתוקפים לבצע פעולות מזיקות שונות
נראה שהשיטה המופעלת בהתקפות Snowblind לא ידועה יחסית, וחוקרים מצביעים על כך שרוב האפליקציות אינן מצוידות להתגונן מפניה. תקיפה מסוג זה פועלת בדיסקרטיות, ומהווה סיכון משמעותי לפגיעה באישורי הכניסה. יתרה מכך, לתוכנה הזדונית יש את היכולת להשבית תכונות אבטחה קריטיות של אפליקציות כגון אימות דו-גורמי ואימות ביומטרי.
תוקפים יכולים למנף את הטכניקה הזו כדי לגשת למידע רגיש על המסך, לנווט במכשירים, לתפעל יישומים ולעקוף פרוטוקולי אבטחה על ידי אוטומציה של פעולות שדורשות בדרך כלל אינטראקציה של משתמשים. בנוסף, הם יכולים לחלץ מידע אישי מזהה ונתוני עסקאות.
מידת ההשפעה של קמפיין התקפת Snowblind על יישומים עדיין לא ברורה. יתר על כן, קיים חשש שגורמי איומים אחרים יוכלו לאמץ שיטה זו כדי להתחמק מהגנות אנדרואיד בעתיד.
