Snowblind ਮੋਬਾਈਲ ਮਾਲਵੇਅਰ
Snowblind ਦੇ ਤੌਰ 'ਤੇ ਟਰੈਕ ਕੀਤਾ ਗਿਆ ਇੱਕ ਨਵਾਂ Android ਮਾਲਵੇਅਰ ਸੰਵੇਦਨਸ਼ੀਲ ਉਪਭੋਗਤਾ ਡੇਟਾ ਦਾ ਪ੍ਰਬੰਧਨ ਕਰਨ ਵਾਲੀਆਂ ਐਪਾਂ ਵਿੱਚ ਮੌਜੂਦਾ ਐਂਟੀ-ਟੈਂਪਰਿੰਗ ਸੁਰੱਖਿਆ ਨੂੰ ਬਾਈਪਾਸ ਕਰਨ ਲਈ ਇੱਕ ਸੁਰੱਖਿਆ ਵਿਸ਼ੇਸ਼ਤਾ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦਾ ਹੈ। ਸਨੋਬਲਾਇੰਡ ਦਾ ਉਦੇਸ਼ ਟਾਰਗੇਟ ਐਪਲੀਕੇਸ਼ਨਾਂ ਨੂੰ ਮੁੜ-ਪੈਕੇਜ ਕਰਨਾ ਹੈ ਤਾਂ ਜੋ ਉਹ ਪਹੁੰਚਯੋਗਤਾ ਸੇਵਾਵਾਂ ਦੀ ਦੁਰਵਰਤੋਂ ਦਾ ਪਤਾ ਨਾ ਲਗਾ ਸਕਣ। ਇਹ ਮਾਲਵੇਅਰ ਨੂੰ ਉਪਭੋਗਤਾ ਇਨਪੁਟਸ ਜਿਵੇਂ ਕਿ ਕ੍ਰੈਡੈਂਸ਼ੀਅਲਸ ਨੂੰ ਹਾਸਲ ਕਰਨ ਜਾਂ ਖਤਰਨਾਕ ਗਤੀਵਿਧੀਆਂ ਕਰਨ ਲਈ ਰਿਮੋਟ ਕੰਟਰੋਲ ਹਾਸਲ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦਾ ਹੈ।
ਜੋ ਚੀਜ਼ Snowblind ਨੂੰ ਦੂਜੇ ਐਂਡਰੌਇਡ ਮਾਲਵੇਅਰ ਤੋਂ ਵੱਖ ਕਰਦੀ ਹੈ ਉਹ ਹੈ 'seccomp' (ਸੁਰੱਖਿਅਤ ਕੰਪਿਊਟਿੰਗ) ਦਾ ਸ਼ੋਸ਼ਣ, ਇੱਕ ਲੀਨਕਸ ਕਰਨਲ ਵਿਸ਼ੇਸ਼ਤਾ ਜੋ ਐਂਡਰਾਇਡ ਦੁਆਰਾ ਐਪਲੀਕੇਸ਼ਨ ਦੀ ਇਕਸਾਰਤਾ ਜਾਂਚਾਂ ਲਈ ਵਰਤੀ ਜਾਂਦੀ ਹੈ। ਇਹ ਵਿਸ਼ੇਸ਼ਤਾ ਉਪਯੋਗਕਰਤਾਵਾਂ ਨੂੰ ਐਪਲੀਕੇਸ਼ਨ ਰੀਪੈਕਿੰਗ ਵਰਗੀਆਂ ਅਸੁਰੱਖਿਅਤ ਕਾਰਵਾਈਆਂ ਤੋਂ ਬਚਾਉਣ ਲਈ ਹੈ।
ਡਿਵਾਈਸਾਂ ਨਾਲ ਸਮਝੌਤਾ ਕਰਨ ਲਈ ਸੁਰੱਖਿਆ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨਾ
Snowblind ਦਾ ਵਿਸ਼ਲੇਸ਼ਣ ਲੀਨਕਸ ਕਰਨਲ ਵਿਸ਼ੇਸ਼ਤਾ 'seccomp' ਦੇ ਸ਼ੋਸ਼ਣ ਦੁਆਰਾ ਐਂਡਰੌਇਡ ਐਪਲੀਕੇਸ਼ਨਾਂ 'ਤੇ ਹਮਲਾ ਕਰਨ ਦੇ ਇਸ ਦੇ ਨਵੀਨਤਾਕਾਰੀ ਢੰਗ ਨੂੰ ਪ੍ਰਗਟ ਕਰਦਾ ਹੈ। Seccomp ਇੱਕ ਸੁਰੱਖਿਆ ਵਿਧੀ ਹੈ ਜੋ ਸਿਸਟਮ ਕਾਲਾਂ (syscalls) ਐਪਲੀਕੇਸ਼ਨਾਂ ਨੂੰ ਕਰ ਸਕਦੀਆਂ ਹਨ, ਜਿਸ ਨਾਲ ਉਹਨਾਂ ਦੇ ਹਮਲੇ ਦੀ ਸਤਹ ਨੂੰ ਘਟਾਇਆ ਜਾ ਸਕਦਾ ਹੈ। ਸ਼ੁਰੂਆਤੀ ਤੌਰ 'ਤੇ ਐਂਡਰੌਇਡ 8 (ਓਰੀਓ) ਵਿੱਚ ਗੂਗਲ ਦੁਆਰਾ ਏਕੀਕ੍ਰਿਤ, seccomp ਨੂੰ Zygote ਪ੍ਰਕਿਰਿਆ ਦੇ ਅੰਦਰ ਲਾਗੂ ਕੀਤਾ ਗਿਆ ਸੀ, ਜੋ ਕਿ ਸਾਰੀਆਂ Android ਐਪਲੀਕੇਸ਼ਨਾਂ ਲਈ ਮੂਲ ਪ੍ਰਕਿਰਿਆ ਹੈ।
ਸਨੋਬਲਾਇੰਡ ਖਾਸ ਤੌਰ 'ਤੇ ਇੱਕ ਮੂਲ ਲਾਇਬ੍ਰੇਰੀ ਨੂੰ ਇੰਜੈਕਟ ਕਰਕੇ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਨੂੰ ਸੰਭਾਲਣ ਵਾਲੀਆਂ ਐਪਲੀਕੇਸ਼ਨਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦਾ ਹੈ ਜੋ ਐਂਟੀ-ਟੈਂਪਰਿੰਗ ਵਿਧੀ ਤੋਂ ਪਹਿਲਾਂ ਲੋਡ ਹੁੰਦੀ ਹੈ। ਇਹ 'ਓਪਨ()' ਵਰਗੇ ਸਿਸਕਲਾਂ ਨੂੰ ਰੋਕਣ ਲਈ ਇੱਕ ਸੈਕੌਂਪ ਫਿਲਟਰ ਸਥਾਪਤ ਕਰਦਾ ਹੈ, ਆਮ ਤੌਰ 'ਤੇ ਫਾਈਲ ਐਕਸੈਸ ਲਈ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ। ਟਾਰਗੇਟ ਐਪਲੀਕੇਸ਼ਨ ਦੇ ਏਪੀਕੇ ਦੀ ਛੇੜਛਾੜ ਦੀ ਜਾਂਚ ਦੇ ਦੌਰਾਨ, ਸਨੋਬਲਾਇੰਡ ਦਾ ਸੈਕੌਂਪ ਫਿਲਟਰ ਅਣਅਧਿਕਾਰਤ ਸਿਸਕੈਲ ਨੂੰ ਰੋਕਦਾ ਹੈ ਅਤੇ ਇੱਕ SIGSYS ਸਿਗਨਲ ਨੂੰ ਚਾਲੂ ਕਰਦਾ ਹੈ, ਇੱਕ ਅਵੈਧ ਸਿਸਕੈਲ ਆਰਗੂਮੈਂਟ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ।
ਖੋਜ ਨੂੰ ਰੋਕਣ ਲਈ, Snowblind SIGSYS ਲਈ ਇੱਕ ਸਿਗਨਲ ਹੈਂਡਲਰ ਸਥਾਪਤ ਕਰਦਾ ਹੈ। ਇਹ ਹੈਂਡਲਰ ਥਰਿੱਡ ਦੇ ਰਜਿਸਟਰਾਂ ਦੀ ਜਾਂਚ ਅਤੇ ਸੋਧ ਕਰਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਮਾਲਵੇਅਰ ਨੂੰ 'ਓਪਨ()' ਸਿਸਕੈਲ ਦੀਆਂ ਆਰਗੂਮੈਂਟਾਂ ਦੀ ਹੇਰਾਫੇਰੀ ਕਰਨ ਦੇ ਯੋਗ ਬਣਾਉਂਦਾ ਹੈ। ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਦੱਸਿਆ ਕਿ ਇਹ ਹੇਰਾਫੇਰੀ ਏਪੀਕੇ ਦੇ ਇੱਕ ਬਦਲਿਆ ਹੋਇਆ ਸੰਸਕਰਣ ਦੇਖਣ ਲਈ ਐਂਟੀ-ਟੈਂਪਰਿੰਗ ਕੋਡ ਨੂੰ ਰੀਡਾਇਰੈਕਟ ਕਰਦੀ ਹੈ।
ਇਸਦੇ ਨਿਸ਼ਾਨੇ ਵਾਲੇ ਪਹੁੰਚ ਦੇ ਕਾਰਨ, ਸੇਕਕੋਮ ਫਿਲਟਰ ਨਿਊਨਤਮ ਪ੍ਰਦਰਸ਼ਨ ਪ੍ਰਭਾਵ ਅਤੇ ਕਾਰਜਸ਼ੀਲ ਫੁੱਟਪ੍ਰਿੰਟ ਲਗਾਉਂਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਉਪਭੋਗਤਾਵਾਂ ਲਈ ਨਿਯਮਤ ਐਪਲੀਕੇਸ਼ਨ ਵਰਤੋਂ ਦੌਰਾਨ ਅਸਧਾਰਨਤਾਵਾਂ ਦਾ ਪਤਾ ਲਗਾਉਣ ਦੀ ਸੰਭਾਵਨਾ ਨਹੀਂ ਹੁੰਦੀ ਹੈ।
ਸਨੋਬਲਾਇੰਡ ਹਮਲਾਵਰਾਂ ਨੂੰ ਕਈ ਨੁਕਸਾਨਦੇਹ ਕਾਰਵਾਈਆਂ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦਾ ਹੈ
Snowblind ਹਮਲਿਆਂ ਵਿੱਚ ਵਰਤੀ ਗਈ ਵਿਧੀ ਮੁਕਾਬਲਤਨ ਅਣਜਾਣ ਜਾਪਦੀ ਹੈ, ਅਤੇ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਸੰਕੇਤ ਦਿੱਤਾ ਹੈ ਕਿ ਜ਼ਿਆਦਾਤਰ ਐਪਸ ਇਸਦੇ ਵਿਰੁੱਧ ਬਚਾਅ ਕਰਨ ਲਈ ਲੈਸ ਨਹੀਂ ਹਨ। ਇਸ ਕਿਸਮ ਦਾ ਹਮਲਾ ਸਮਝਦਾਰੀ ਨਾਲ ਕੰਮ ਕਰਦਾ ਹੈ, ਲੌਗਇਨ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨਾਲ ਸਮਝੌਤਾ ਕਰਨ ਦਾ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਜੋਖਮ ਪੈਦਾ ਕਰਦਾ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਮਾਲਵੇਅਰ ਵਿੱਚ ਐਪ ਸੁਰੱਖਿਆ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਜਿਵੇਂ ਕਿ ਦੋ-ਕਾਰਕ ਪ੍ਰਮਾਣਿਕਤਾ ਅਤੇ ਬਾਇਓਮੈਟ੍ਰਿਕ ਵੈਰੀਫਿਕੇਸ਼ਨ ਨੂੰ ਅਸਮਰੱਥ ਕਰਨ ਦੀ ਸਮਰੱਥਾ ਹੈ।
ਹਮਲਾਵਰ ਸੰਵੇਦਨਸ਼ੀਲ ਔਨ-ਸਕ੍ਰੀਨ ਜਾਣਕਾਰੀ ਤੱਕ ਪਹੁੰਚ ਕਰਨ, ਡਿਵਾਈਸਾਂ ਨੂੰ ਨੈਵੀਗੇਟ ਕਰਨ, ਐਪਲੀਕੇਸ਼ਨਾਂ ਵਿੱਚ ਹੇਰਾਫੇਰੀ ਕਰਨ, ਅਤੇ ਸਵੈਚਾਲਤ ਕਾਰਵਾਈਆਂ ਦੁਆਰਾ ਸੁਰੱਖਿਆ ਪ੍ਰੋਟੋਕੋਲ ਨੂੰ ਰੋਕਣ ਲਈ ਇਸ ਤਕਨੀਕ ਦਾ ਲਾਭ ਉਠਾ ਸਕਦੇ ਹਨ ਜਿਨ੍ਹਾਂ ਲਈ ਆਮ ਤੌਰ 'ਤੇ ਉਪਭੋਗਤਾ ਦੀ ਗੱਲਬਾਤ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਉਹ ਨਿੱਜੀ ਤੌਰ 'ਤੇ ਪਛਾਣਯੋਗ ਜਾਣਕਾਰੀ ਅਤੇ ਲੈਣ-ਦੇਣ ਸੰਬੰਧੀ ਡੇਟਾ ਨੂੰ ਐਕਸਟਰੈਕਟ ਕਰ ਸਕਦੇ ਹਨ।
ਐਪਲੀਕੇਸ਼ਨਾਂ 'ਤੇ ਸਨੋਬਲਾਈਂਡ ਹਮਲੇ ਦੀ ਮੁਹਿੰਮ ਦੇ ਪ੍ਰਭਾਵ ਦੀ ਹੱਦ ਅਸਪਸ਼ਟ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਇਹ ਚਿੰਤਾ ਹੈ ਕਿ ਹੋਰ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਕਲਾਕਾਰ ਭਵਿੱਖ ਵਿੱਚ ਐਂਡਰਾਇਡ ਸੁਰੱਖਿਆ ਤੋਂ ਬਚਣ ਲਈ ਇਸ ਵਿਧੀ ਨੂੰ ਅਪਣਾ ਸਕਦੇ ਹਨ।
