Snowblind: Хакери злоупотребяват с дребен недостатък в системата за сигурност на Android
Нова зловредна техника, наречена Snowblind нападна приложения за Android, като употребява необикновен способ за заобикаляне на отбраните. Експертите по сигурността на мобилните приложения от Promon откриха, че Snowblind злоупотребява с функционалност за сигурност на Linux, наречена „ seccomp “.
Seccomp (Secure Computing Mode) е функционалност на ядрото на Linux, която лимитира систематичните извиквания, налични за приложенията, като по този метод понижава евентуалната повърхнина за офанзиви. Гугъл внедри seccomp в Android 8 (Oreo), с цел да отбрани потребителите от злонамерена активност.
Целта на Snowblind е да препакетира целевото приложение, тъй че да не може да открие корист с услуги със специфични благоприятни условия, които разрешават на злотворен програмен продукт да получи потребителски входни данни, като да вземем за пример идентификационни данни, или да получи достъп до дистанционно управление, с цел да извърши други злонамерени действия.
Зловредният програмен продукт е ориентиран най-вече към приложения, които обработват чувствителни данни. За задачата Snowblind инжектира своя лична библиотека, която се зарежда преди кода за битка с подправянето, и конфигурира seccomp филтър за прихващане на систематични повиквания.
Когато се ревизира APK на целевото приложение, seccomp филтърът, конфигуриран от Snowblind не разрешава продължаването на повикването. Вместо това той задейства сигнал SIGSYS, показващ неточност в систематичното повикване. Snowblind също по този начин конфигурира обработчик на сигнала SIGSYS, с цел да ревизира и манипулира регистрите на потока.
По този метод зловредният програмен продукт може да трансформира причините на систематичната повикване „ open() “, насочвайки кода за битка с подправянето към предходна версия на APK. Поради целенасочения темперамент на филтъра seccomp въздействието върху продуктивността е минимално, тъй че е малко евентуално потребителят да забележи нещо по време на естествената работа на приложението.
За по-ясно схващане на офанзивата ви предлагаме да изгледате видеото, приложено от откривателите към техния отчет:
Експертите на Promon считат, че множеството приложения не са ваксинирани против тази техника. Snowblind може да се употребява за деактивиране на разнообразни функционалности за сигурност в приложенията, като да вземем за пример двуфакторно засвидетелствуване или биометрична инспекция.
Към момента в Гугъл Play не са открити приложения, съдържащи зловредния код на Snowblind. Освен това потребителите на Android са автоматизирано предпазени от известните версии на този злотворен програмен продукт посредством Гугъл Play Protect, която е задействана по дифолт на устройствата с Android с услуги на Гугъл. Въпреки това постоянно съществува риск нападателите да заобиколят и тази мярка за отбрана.
За да се предпазите оптимално, постоянно инсталирайте мобилни приложения единствено от формалния магазин на Гугъл, а даже и измежду тях би трябвало да избирате единствено потвърдени и добре познати такива с висок рейтинг и огромен брой мнения. Това е единственият метод да избегнете сходни киберзаплахи и да запазите данните и парите си в сигурност.
