Ένας νέος φορέας επίθεσης Android από ένα κομμάτι κακόβουλου λογισμικού που παρακολουθείται ως Snowblind κάνει κατάχρηση μιας δυνατότητας ασφαλείας για να παρακάμψει τις υπάρχουσες προστασίες κατά της παραβίασης σε εφαρμογές που χειρίζονται ευαίσθητα δεδομένα χρήστη.
Ο στόχος του Snowblind είναι να επανασυσκευάσει μια εφαρμογή-στόχο ώστε να μην μπορεί να ανιχνεύσει κατάχρηση υπηρεσιών προσβασιμότητας που του επιτρέπουν να αποκτά στοιχεία χρήστη, όπως διαπιστευτήρια, ή να αποκτά πρόσβαση από τηλεχειριστήριο για την
εκτέλεση
κακόβουλων ενεργειών.
Σε αντίθεση με άλλα κακόβουλα προγράμματα Android, ωστόσο, το Snowblind καταχράται το «seccomp», συντομογραφία του ασφαλούς υπολογισμού, μια δυνατότητα πυρήνα Linux που χρησιμοποιεί το Android για ελέγχους ακεραιότητας σε εφαρμογές, για να προστατεύει τους χρήστες από κακόβουλες ενέργειες όπως η επανασυσκευασία εφαρμογών.
Κατάχρηση της λειτουργίας ασφαλείας seccomp
Η εταιρεία ασφάλειας εφαρμογών για
κινητά
Promon μπόρεσε να αναλύσει τον τρόπο με τον οποίο το Snowblind πετυχαίνει τον στόχο του χωρίς να εντοπίζεται, αφού έλαβε ένα δείγμα από την i-Sprint, έναν συνεργάτη που παρέχει πρόσβαση και προστασία συστήματος ταυτότητας σε επιχειρήσεις.
“Αυτό το κακόβουλο λογισμικό επιτέθηκε στην εφαρμογή ενός από τους πελάτες της i-Sprint στη Νοτιοανατολική
Ασία
. Η ανάλυσή μας για το Snowblind διαπίστωσε ότι χρησιμοποιεί μια νέα τεχνική για να επιτεθεί σε εφαρμογές Android που βασίζεται στη λειτουργία πυρήνα Linux
seccomp
“-
Promon
Το Seccomp είναι μια δυνατότητα ασφαλείας πυρήνα Linux που έχει σχεδιαστεί για να μειώνει την επιφάνεια επίθεσης των εφαρμογών περιορίζοντας τις κλήσεις συστήματος (syscalls) που μπορούν να πραγματοποιήσουν. Λειτουργεί ως φίλτρο για τα syscals που επιτρέπεται να εκτελούνται σε μια εφαρμογή, αποκλείοντας αυτά που έχουν γίνει κατάχρηση σε επιθέσεις.
Η Google ενσωμάτωσε για πρώτη φορά το seccomp στο Android 8 (Oreo), εφαρμόζοντάς το στη διαδικασία Zygote, η οποία είναι η μητρική διαδικασία όλων των εφαρμογών Android.
Το Snowblind στοχεύει εφαρμογές που χειρίζονται ευαίσθητα δεδομένα εισάγοντας μια εγγενή βιβλιοθήκη που φορτώνεται πριν από τον κώδικα κατά της παραβίασης και εγκαθιστά ένα
seccomp
φιλτράρει για να παρεμποδίζει κλήσεις συστήματος όπως το ‘open() syscall’ που χρησιμοποιείται συνήθως στην πρόσβαση αρχείων.
Όταν το
APK
της εφαρμογής προορισμού ελέγχεται για παραβίαση, του Snowblind
seccomp
Το φίλτρο δεν επιτρέπει τη συνέχιση της κλήσης και αντ’ αυτού ενεργοποιεί ένα σήμα SIGSYS που υποδεικνύει ότι η διαδικασία έστειλε ένα κακό όρισμα στην κλήση συστήματος.
Ο Snowblind εγκαθιστά επίσης έναν χειριστή σήματος για το SIGSYS για να το επιθεωρήσει και να χειριστεί τους καταχωρητές του νήματος, εξηγούν οι ερευνητές σε μια αναφορά που κοινοποιήθηκε στο BleepingComputer.
Με αυτόν τον τρόπο, το κακόβουλο λογισμικό μπορεί να τροποποιήσει τα επιχειρήματα κλήσης συστήματος ‘open()’ για να κατευθύνει τον κώδικα κατά της παραβίασης σε μια μη τροποποιημένη έκδοση του APK.
Λόγω της στοχευμένης φύσης του φίλτρου seccomp, ο αντίκτυπος στην απόδοση και το λειτουργικό αποτύπωμα είναι ελάχιστα, επομένως ο χρήστης είναι απίθανο να παρατηρήσει τίποτα κατά τη διάρκεια των κανονικών λειτουργιών της εφαρμογής.
Λειτουργική επισκόπηση του Snowblind
Πηγή: Promon
Σενάρια επίθεσης
Ο Promon λέει ότι η τεχνική που παρατηρείται στις επιθέσεις Snowblind “δεν φαίνεται να είναι γνωστή” και οι ερευνητές πιστεύουν ότι οι περισσότερες εφαρμογές δεν προστατεύουν από αυτήν.
Σε ένα βίντεο που δείχνει πώς λειτουργεί η επίθεση, οι ερευνητές δείχνουν ότι μια επίθεση Snowblind είναι εντελώς αόρατη στον χρήστη και μπορεί να οδηγήσει σε διαρροή διαπιστευτηρίων σύνδεσης.
Οι ερευνητές είπαν στο BleepingComputer ότι το Snowblind μπορεί να χρησιμοποιηθεί για την απενεργοποίηση διαφόρων λειτουργιών ασφαλείας σε εφαρμογές, όπως ο έλεγχος ταυτότητας δύο παραγόντων ή η βιομετρική επαλήθευση.
Ένας εισβολέας θα μπορούσε να χρησιμοποιήσει την τεχνική “για να διαβάσει ευαίσθητες πληροφορίες που εμφανίζονται στην οθόνη, να πλοηγηθεί στη συσκευή ή να ελέγξει τις εφαρμογές, να παρακάμψει μέτρα ασφαλείας αυτοματοποιώντας τις αλληλεπιδράσεις που συνήθως απαιτούσαν την παρέμβαση του χρήστη, καθώς και να διεισδύσει ευαίσθητες προσωπικές πληροφορίες και δεδομένα συναλλαγών”.
Ο Promon λέει ότι ο Snowblind παρατηρήθηκε να στοχεύει μια εφαρμογή ενός πελάτη του i-Sprint στη Νοτιοανατολική Ασία. Ωστόσο, δεν είναι σαφές πόσες εφαρμογές έχουν στοχοποιηθεί μέχρι στιγμής. Επιπλέον, η μέθοδος θα μπορούσε να υιοθετηθεί από άλλους αντιπάλους για να παρακάμψουν τις προστασίες στο Android.
Το BleepingComputer επικοινώνησε με την Google ζητώντας ένα σχόλιο σχετικά με την ενεργή κατάχρηση του
seccomp
για να παρακάμψετε τις προστασίες Android και ένας εκπρόσωπος απάντησε με την ακόλουθη δήλωση:
Με βάση τον τρέχοντα εντοπισμό μας, δεν βρέθηκαν εφαρμογές που να περιέχουν αυτό το κακόβουλο λογισμικό στο Google Play.
Οι χρήστες Android προστατεύονται αυτόματα από γνωστές εκδόσεις αυτού του κακόβουλου λογισμικού από το Google Play Protect, το οποίο είναι ενεργοποιημένο από προεπιλογή σε
συσκευές
Android με Υπηρεσίες Google Play.
Ο εκπρόσωπος της εταιρείας πρόσθεσε ότι “Το Google Play Protect μπορεί να προειδοποιεί τους χρήστες ή να αποκλείει εφαρμογές που είναι γνωστό ότι παρουσιάζουν κακόβουλη συμπεριφορά, ακόμη και όταν αυτές οι εφαρμογές προέρχονται από πηγές εκτός του Play”.
VIA:
bleepingcomputer.com
0