ஸ்னோபிளைண்ட் மொபைல் மால்வேர்
Snowblind என கண்காணிக்கப்படும் புதிய ஆண்ட்ராய்டு மால்வேர், முக்கியமான பயனர் தரவை நிர்வகிக்கும் பயன்பாடுகளில் தற்போதைய ஆண்டி-டேம்பரிங் பாதுகாப்புகளைத் தவிர்க்க பாதுகாப்பு அம்சத்தைப் பயன்படுத்துகிறது. Snowblind இலக்கு பயன்பாடுகளை மீண்டும் பேக்கேஜ் செய்வதை நோக்கமாகக் கொண்டுள்ளது, எனவே அணுகல் சேவைகளின் தவறான பயன்பாட்டை அவர்களால் கண்டறிய முடியாது. நற்சான்றிதழ்கள் போன்ற பயனர் உள்ளீடுகளைப் பிடிக்க அல்லது தீங்கிழைக்கும் செயல்களைச் செய்ய ரிமோட் கண்ட்ரோலைப் பெற இது தீம்பொருளை அனுமதிக்கிறது.
Snowblind ஐ மற்ற ஆண்ட்ராய்டு மால்வேர்களில் இருந்து வேறுபடுத்திக் காட்டுவது, 'seccomp' (பாதுகாப்பான கம்ப்யூட்டிங்) சுரண்டல் ஆகும், இது ஆண்ட்ராய்டு ஆப்ஸ் ஒருமைப்பாடு சரிபார்ப்புகளுக்கு பயன்படுத்தும் லினக்ஸ் கர்னல் அம்சமாகும். இந்த அம்சம், அப்ளிகேஷன் ரீ பேக்கேஜிங் போன்ற பாதுகாப்பற்ற செயல்களில் இருந்து பயனர்களைப் பாதுகாப்பதற்காக வடிவமைக்கப்பட்டுள்ளது.
சாதனங்களை சமரசம் செய்ய பாதுகாப்பு அம்சங்களைப் பயன்படுத்துதல்
லினக்ஸ் கர்னல் அம்சமான 'seccomp' மூலம் ஆண்ட்ராய்டு பயன்பாடுகளைத் தாக்கும் அதன் புதுமையான முறையை Snowblind இன் பகுப்பாய்வு வெளிப்படுத்துகிறது. Seccomp என்பது ஒரு பாதுகாப்பு பொறிமுறையாகும், இது கணினி அழைப்புகளை (syscalls) பயன்பாடுகள் செய்யக்கூடியதைக் கட்டுப்படுத்துகிறது, அதன் மூலம் அவற்றின் தாக்குதல் மேற்பரப்பைக் குறைக்கிறது. ஆரம்பத்தில் ஆண்ட்ராய்டு 8 (ஓரியோ) இல் கூகுளால் ஒருங்கிணைக்கப்பட்ட seccomp ஆனது, அனைத்து ஆண்ட்ராய்டு அப்ளிகேஷன்களுக்கான மூலச் செயல்முறையான Zygote செயல்முறைக்குள் செயல்படுத்தப்பட்டது.
ஸ்னோபிளைண்ட் குறிப்பாக டேம்பரிங் எதிர்ப்பு வழிமுறைகளுக்கு முன் ஏற்றப்படும் சொந்த நூலகத்தை உட்செலுத்துவதன் மூலம் உணர்திறன் தரவைக் கையாளும் பயன்பாடுகளை குறிவைக்கிறது. பொதுவாக கோப்பு அணுகலுக்குப் பயன்படுத்தப்படும் 'open()' போன்ற syscals ஐ இடைமறிக்க இது ஒரு seccomp வடிப்பானை நிறுவுகிறது. இலக்கு பயன்பாட்டின் APK-ஐ சேதப்படுத்தும் சோதனைகளின் போது, Snowblind இன் seccomp வடிப்பான் அங்கீகரிக்கப்படாத syscalls ஐத் தடுக்கிறது மற்றும் SIGSYS சிக்னலைத் தூண்டுகிறது, இது தவறான syscall வாதத்தைக் குறிக்கிறது.
கண்டறிதலைத் தவிர்க்க, Snowblind SIGSYSக்கான சிக்னல் ஹேண்ட்லரை நிறுவுகிறது. இந்த ஹேண்ட்லர் த்ரெட்டின் பதிவேடுகளை ஆய்வு செய்து மாற்றியமைத்து, 'திறந்த()' சைஸ்காலின் வாதங்களைக் கையாள தீம்பொருளை செயல்படுத்துகிறது. இந்த கையாளுதல் APK இன் மாற்றப்படாத பதிப்பைப் பார்க்க, சேதப்படுத்துதல்-எதிர்ப்புக் குறியீட்டை திசைதிருப்புகிறது என்று ஆராய்ச்சியாளர்கள் விளக்குகின்றனர்.
அதன் இலக்கு அணுகுமுறை காரணமாக, seccomp வடிகட்டி குறைந்தபட்ச செயல்திறன் தாக்கம் மற்றும் செயல்பாட்டு தடம் ஆகியவற்றை விதிக்கிறது, இதனால் வழக்கமான பயன்பாட்டு பயன்பாட்டின் போது பயனர்கள் அசாதாரணங்களைக் கண்டறிவது சாத்தியமில்லை.
ஸ்னோபிளைண்ட் தாக்குபவர்களை பல்வேறு தீங்கு விளைவிக்கும் செயல்களைச் செய்ய அனுமதிக்கிறது
ஸ்னோபிளைண்ட் தாக்குதல்களில் பயன்படுத்தப்படும் முறை ஒப்பீட்டளவில் அறியப்படாததாகத் தோன்றுகிறது, மேலும் பெரும்பாலான பயன்பாடுகள் அதற்கு எதிராகப் பாதுகாக்கும் வகையில் இல்லை என்று ஆராய்ச்சியாளர்கள் குறிப்பிடுகின்றனர். இந்த வகையான தாக்குதல் புத்திசாலித்தனமாக செயல்படுகிறது, இது உள்நுழைவு சான்றுகளை சமரசம் செய்யும் குறிப்பிடத்தக்க ஆபத்தை ஏற்படுத்துகிறது. மேலும், தீம்பொருள் இரண்டு காரணி அங்கீகாரம் மற்றும் பயோமெட்ரிக் சரிபார்ப்பு போன்ற முக்கியமான பயன்பாட்டு பாதுகாப்பு அம்சங்களை முடக்கும் திறனைக் கொண்டுள்ளது.
பொதுவாகப் பயனர் தொடர்பு தேவைப்படும் செயல்களைத் தானியக்கமாக்குவதன் மூலம், தாக்குபவர்கள் இந்த நுட்பத்தைப் பயன்படுத்தி, திரையில் உள்ள முக்கியமான தகவலை அணுகவும், சாதனங்களுக்குச் செல்லவும், பயன்பாடுகளைக் கையாளவும், பாதுகாப்பு நெறிமுறைகளைத் தவிர்க்கவும் முடியும். கூடுதலாக, அவர்கள் தனிப்பட்ட முறையில் அடையாளம் காணக்கூடிய தகவல் மற்றும் பரிவர்த்தனை தரவைப் பிரித்தெடுக்க முடியும்.
பயன்பாடுகளில் ஸ்னோபிளைண்ட் தாக்குதல் பிரச்சாரத்தின் தாக்கத்தின் அளவு தெளிவாக இல்லை. மேலும், பிற அச்சுறுத்தல் நடிகர்கள் எதிர்காலத்தில் ஆண்ட்ராய்டு பாதுகாப்புகளைத் தவிர்க்க இந்த முறையைப் பின்பற்றலாம் என்ற கவலை உள்ளது.
