详细内容或原文请订阅后点击阅览
Snowblind:黑客滥用Android安全系统的“盲点”
特里姆语用于翻译,并附有英语原文。
来源:安全实验室新闻频道先进的技术允许您直接在设备上重建目标应用程序。
一种名为 Snowblind 的新型恶意技术使用一种不寻常的绕过保护的方法来攻击 Android 应用程序。 Promon 的移动应用安全专家发现 Snowblind 滥用了名为“seccomp”的 Linux 安全功能。
Android 已找到,Seccomp(安全计算模式)是 Linux 内核的一项功能,它限制应用程序可用的系统调用,从而减少潜在的攻击面。 Google 在 Android 8 (Oreo) 中实施了 seccomp,以保护用户免受恶意活动的侵害。
Snowblind 的目标是重新打包目标应用程序,以便它无法检测对辅助服务的滥用,这些服务允许恶意软件获取用户输入(例如凭据)或访问远程控制以执行其他恶意操作。
该恶意软件主要针对处理敏感数据的应用程序。为了实现这一点,Snowblind 实现了自己的库,该库在防伪代码之前加载,并安装了 seccomp 过滤器来拦截系统调用。
当检查目标应用程序的 APK 时,Snowblind 设置的 seccomp 过滤器会阻止调用继续。相反,它会引发 SIGSYS 信号,指示系统调用中出现错误。 Snowblind 还为 SIGSYS 安装了一个信号处理程序来检查和操作线程寄存器。
APK因此,恶意软件可以更改“open()”系统调用的参数,将防篡改代码指向以前版本的 APK。由于 seccomp 过滤器的目标性质,对性能的影响很小,因此用户在正常应用程序操作期间不太可能注意到任何事情。
为了更清楚地了解攻击的本质,我们建议您熟悉研究人员在报告中附加的视频记录:
视频