स्नोब्लाइन्ड मोबाइल मालवेयर
Snowblind को रूपमा ट्र्याक गरिएको उपन्यास एन्ड्रोइड मालवेयरले संवेदनशील प्रयोगकर्ता डेटा व्यवस्थापन गर्ने एपहरूमा हालको एन्टी-टेम्परिङ सुरक्षाहरूलाई बाइपास गर्न सुरक्षा सुविधाको शोषण गर्दछ। Snowblind ले लक्ष्य अनुप्रयोगहरू पुन: प्याकेज गर्ने लक्ष्य राख्छ ताकि तिनीहरूले पहुँच सेवाहरूको दुरुपयोग पत्ता लगाउन सक्दैनन्। यसले मालवेयरलाई प्रयोगकर्ता इनपुटहरू जस्तै प्रमाणहरू खिच्न वा दुर्भावनापूर्ण गतिविधिहरू प्रदर्शन गर्न रिमोट कन्ट्रोल प्राप्त गर्न अनुमति दिन्छ।
स्नोब्लाइन्डलाई अन्य एन्ड्रोइड मालवेयरबाट अलग राख्ने कुरा भनेको 'seccomp' (सुरक्षित कम्प्युटिङ) को शोषण हो, जुन लिनक्स कर्नेल सुविधा एन्ड्रोइडद्वारा एप्लिकेसनको पूर्णता जाँचका लागि प्रयोग गरिन्छ। यो सुविधा प्रयोगकर्ताहरूलाई एप्लिकेसन रिप्याकिङ जस्ता असुरक्षित कार्यहरूबाट जोगाउनको लागि हो।
यन्त्रहरू सम्झौता गर्न सुरक्षा सुविधाहरूको शोषण
स्नोब्लाइन्डको विश्लेषणले लिनक्स कर्नेल सुविधा 'seccomp' को शोषण मार्फत एन्ड्रोइड अनुप्रयोगहरू आक्रमण गर्ने यसको अभिनव विधि प्रकट गर्दछ। Seccomp एक सुरक्षा संयन्त्र हो जसले प्रणाली कलहरू (syscalls) अनुप्रयोगहरू प्रदर्शन गर्न सक्ने सीमित गर्दछ, जसले गर्दा तिनीहरूको आक्रमण सतह घटाउँछ। एन्ड्रोइड 8 (ओरियो) मा Google द्वारा सुरुमा एकीकृत, seccomp सबै एन्ड्रोइड अनुप्रयोगहरूको लागि अभिभावक प्रक्रिया, Zygote प्रक्रिया भित्र लागू गरिएको थियो।
स्नोब्लाइन्डले विशेष रूपमा एन्टी-टेम्परिङ मेकानिजमहरू अघि लोड हुने नेटिभ लाइब्रेरी इन्जेक्सन गरेर संवेदनशील डेटा ह्यान्डल गर्ने अनुप्रयोगहरूलाई लक्षित गर्दछ। यसले 'open()' जस्ता syscalls रोक्नको लागि seccomp फिल्टर स्थापना गर्दछ, सामान्यतया फाइल पहुँचको लागि प्रयोग गरिन्छ। लक्षित एप्लिकेसनको APK को छेडछाड जाँच गर्दा, Snowblind को seccomp फिल्टरले अनाधिकृत syscalls लाई रोक्छ र SIGSYS सिग्नल ट्रिगर गर्दछ, अवैध syscall तर्कलाई संकेत गर्दछ।
पत्ता लगाउन रोक्नको लागि, Snowblind SIGSYS का लागि सिग्नल ह्यान्डलर स्थापना गर्दछ। यो ह्यान्डलरले थ्रेडको रेजिस्टरहरूको निरीक्षण र परिमार्जन गर्दछ, मालवेयरलाई 'open()' syscall को आर्गुमेन्टहरू हेरफेर गर्न सक्षम पार्दै। अन्वेषकहरूले व्याख्या गर्छन् कि यो हेरफेरले एपीकेको अपरिवर्तित संस्करण हेर्न एन्टी-टेम्परिंग कोडलाई रिडिरेक्ट गर्छ।
यसको लक्षित दृष्टिकोणको कारण, seccomp फिल्टरले न्यूनतम कार्यसम्पादन प्रभाव र परिचालन पदचिह्न लगाएको छ, यसले प्रयोगकर्ताहरूलाई नियमित अनुप्रयोग प्रयोगको क्रममा असामान्यताहरू पत्ता लगाउन असम्भव बनाउँछ।
स्नोब्लाइन्डले आक्रमणकारीहरूलाई विभिन्न हानिकारक कार्यहरू गर्न अनुमति दिन्छ
स्नोब्लाइन्ड आक्रमणहरूमा नियोजित विधि अपेक्षाकृत अज्ञात देखिन्छ, र अनुसन्धानकर्ताहरूले संकेत गर्छन् कि अधिकांश एपहरू यसको विरुद्धमा रक्षा गर्न सुसज्जित छैनन्। यस प्रकारको आक्रमणले सावधानीपूर्वक सञ्चालन गर्दछ, लगइन प्रमाणहरू सम्झौता गर्ने महत्त्वपूर्ण जोखिम उत्पन्न गर्दछ। यसबाहेक, मालवेयरसँग दुई-कारक प्रमाणीकरण र बायोमेट्रिक प्रमाणीकरण जस्ता महत्वपूर्ण एप सुरक्षा सुविधाहरू असक्षम पार्ने क्षमता छ।
आक्रमणकारीहरूले संवेदनशील अन-स्क्रिन जानकारी पहुँच गर्न, यन्त्रहरू नेभिगेट गर्न, अनुप्रयोगहरू हेरफेर गर्न, र सामान्यतया प्रयोगकर्ता अन्तरक्रिया आवश्यक पर्ने कार्यहरू स्वचालित रूपमा सुरक्षा प्रोटोकलहरू रोक्न यो प्रविधिको फाइदा लिन सक्छन्। थप रूपमा, तिनीहरू व्यक्तिगत रूपमा पहिचान योग्य जानकारी र लेनदेन डेटा निकाल्न सक्छन्।
अनुप्रयोगहरूमा स्नोब्लाइन्ड आक्रमण अभियानको प्रभावको हद अस्पष्ट रहन्छ। यसबाहेक, त्यहाँ चिन्ता छ कि अन्य खतरा अभिनेताहरूले भविष्यमा एन्ड्रोइड सुरक्षाहरू बेवास्ता गर्न यो विधि अपनाउन सक्छन्।
