นักวิจัยจีนรายงานการโจมตีหุ่นยนต์โทรจันที่ซ่อนอยู่ใหม่

โทรจันแอพ Android ด้วยการเพิ่มโค้ดที่เป็นอันตรายนั้นง่ายมาก ด้วยเครื่องมือที่มีให้ใช้อย่างกว้างขวางทุกคนสามารถแยกไฟล์ APK ลงในซอร์สโค้ดของมันเพิ่มโมดูลที่เป็นอันตรายปรับแต่งการอนุญาตไม่กี่อย่าง อย่างไรก็ตามการตรวจสอบโรงเตี๊ยมนี้เป็นเรื่องง่ายในการตรวจสอบลายเซ็นดิจิตอลของแอพ เมื่อสัปดาห์ที่แล้วนักวิจัยจาก BlueBox Security ได้รายงานสิ่งที่พวกเขาเรียกว่าช่องโหว่ "มาสเตอร์คีย์" ซึ่งเป็นเทคนิคสำหรับการลบแอพโดยไม่เปลี่ยนลายเซ็นดิจิตอล สัปดาห์นี้นักวิจัยชาวจีนรายงานอีกวิธีในการซ่อนรหัสโทรจัน

ลายเซ็นดิจิทัลไม่แตก

จุดรวมของการเซ็นเอกสารหรือไฟล์แบบดิจิทัลคือการพิสูจน์ว่าไฟล์นั้นไม่ได้รับการแก้ไข กระบวนการนี้ใช้รูปแบบของการเข้ารหัสคีย์สาธารณะ คุณเซ็นชื่อแบบดิจิทัลไฟล์โดยการเข้ารหัสด้วยรหัสส่วนตัวของคุณ ความจริงที่ว่าไฟล์ที่เข้ารหัสสามารถถอดรหัสโดยใช้กุญแจสาธารณะของคุณเป็นหลักฐานว่าไม่มีการดัดแปลง หากว่า BlueBox ค้นพบวิธีที่จะแก้ไขไฟล์โดยไม่ต้องเปลี่ยนลายเซ็นดิจิตอลของมันนั่นจะเป็นการระเบิดที่น่าประหลาดใจสำหรับอุตสาหกรรม crypto ทั้งหมด แต่พวกเขาไม่ได้

BlueBox จะรายงานรายละเอียดทั้งหมดของการวิจัยของพวกเขาในการประชุม Black Hat ในอีกไม่กี่สัปดาห์ อย่างไรก็ตามนักวิจัย ViaForensics Pau Oliva Fora ได้โพสต์หลักฐานของรหัสแนวคิดที่แสดงให้เห็นถึงวิธีการที่ใช้

จริงๆแล้วมันง่ายมาก ๆ ไฟล์ APK ถูกบีบอัดโดยใช้อัลกอริทึมการจัดเก็บ ZIP อย่างกว้างขวาง การใช้งาน ZIP ส่วนใหญ่จะไม่อนุญาตให้มีไฟล์ชื่อเดียวกันสองไฟล์ในไฟล์เก็บถาวรเดียว แต่อัลกอริทึมนั้นไม่ได้ห้ามความเป็นไปได้ดังกล่าว เมื่อตรวจสอบลายเซ็นดิจิทัลของแอป Android OS จะตรวจสอบไฟล์แรกที่จับคู่ แต่เมื่อเรียกใช้และเปิดใช้งานไฟล์จริงไฟล์นั้นจะคว้าไฟล์ สุดท้าย ในการ Trojanize แอพสิ่งที่คุณต้องทำคือใส่รหัสอันตรายของคุณลงในแอพโดยใช้ชื่อที่มีอยู่แล้วภายในแอพ การสาธิตของ Fora เป็นโค้ด Java เพียงไม่กี่บรรทัด

การโจมตีโครงสร้างอื่น

นักวิจัยชาวจีนเขียนบล็อกเป็น Android Security Squad พบว่ามีการสาธิตที่น่าสนใจและไปค้นหาวิธีอื่น ๆ ในการล้มล้างกระบวนการตรวจสอบ การอ่านโพสต์ที่แปลโดย Google นั้นค่อนข้างยาก แต่ดูเหมือนว่าการโจมตีจะขึ้นอยู่กับแนวคิดวิทยาการคอมพิวเตอร์ระดับ 101

โปรแกรมคอมพิวเตอร์จัดเก็บจำนวนการนับในคอลเลกชันบิตขนาดคงที่ ตัวอย่างเช่นด้วยแปดบิตคุณสามารถแทนตัวเลขได้ตั้งแต่ 0 ถึง 255 หากจำเป็นต้องแสดงถึงตัวเลขติดลบอนุสัญญาที่มีมายาวนานคือบิตที่อยู่ทางซ้ายสุดหมายถึงจำนวนลบ ด้วยแปดบิตจากนั้นคุณยังสามารถแทนตัวเลขจาก -128 ถึง 127 ได้เลขฐานสอง 11111111 แสดงถึง 255 หรือ -1 ทั้งนี้ขึ้นอยู่กับว่ามันตั้งใจจะเป็นหมายเลขที่ไม่ได้ลงชื่อหรือลงนาม

ทีมรักษาความปลอดภัยของ Android ได้ทำการเจาะข้อมูลในรูปแบบส่วนหัวของไฟล์ APK และพบว่ามีเขตข้อมูลที่คิดว่าเป็นออฟเซ็ตเชิงบวก แต่จะถูกเก็บไว้เป็นจำนวนเต็มที่ลงนามแล้ว การบังคับให้ฟิลด์นี้มีค่าลบเฉพาะทำให้โหลดเดอร์ APK ทำงานโค้ดที่เป็นอันตรายแทนรหัสที่ลงนามแบบดิจิทัลที่ตรวจสอบแล้ว ตกลงมันซับซ้อนกว่านิดหน่อย แต่ก็คร่าวๆว่ามันทำงานอย่างไร

ติดกับ Google Play

ทั้งแฮ็กเหล่านี้ไม่ได้ทำลายกลไกลายเซ็นดิจิทัลของ Android แต่พวกเขาทั้งสองใช้ประโยชน์จากนิสัยใจคอในโครงสร้าง APK เพื่อแสดงลายเซ็นดิจิทัลที่ไม่เกี่ยวข้อง นอกจากนี้ทั้งคู่จะไม่เปิดใช้งานแอปที่ถูก Trojan ผ่านการวิเคราะห์ของ Google Google ได้อัปเดต Google Play โดยเฉพาะเพื่อกรองแอปที่ถูก Trojan โดยใช้การโจมตี "มาสเตอร์คีย์" แม้ว่าจะไม่มีขั้นตอนดังกล่าวความปลอดภัยมาตรฐานก็จะปิดกั้นแอพพลิเคชั่น Trojanized ทั้งสองประเภท

บทเรียนมีความชัดเจน รับแอพของคุณจากแหล่งที่ถูกต้องเสมอตรวจสอบให้แน่ใจว่าชื่อผู้พัฒนาถูกต้องและกำหนดค่าโทรศัพท์ของคุณเพื่อให้ไม่อนุญาตให้ติดตั้งแอพจาก "แหล่งที่ไม่รู้จัก" ให้ความสนใจว่าการอนุญาตใดที่แอพร้องขอและพร้อมที่จะยกเลิกการติดตั้งที่ดูน่าสงสัย หากผู้ให้บริการของคุณมีการอัปเดต Android ให้ติดตั้งเสมอ มันเป็นแค่สามัญสำนึก!