الباحث الصيني تقارير جديدة خفية هجوم الروبوت طروادة

يعتبر تطبيق طروادة على تطبيق Android عن طريق إضافة تعليمات برمجية ضارة أمرًا بسيطًا يبعث على السخرية. باستخدام الأدوات المتوفرة على نطاق واسع ، يمكن لأي شخص تفكيك ملف APK وصولًا إلى الكود المصدر الخاص به ، وإضافة وحدة نمطية ضارة ، وتعديل بضعة أذونات ، وإعادة بناء تطبيق طروادة جديد يشبه القديم. ومع ذلك ، فإن اكتشاف هذا الصباغة هو مسألة بسيطة للتحقق من التوقيع الرقمي للتطبيق. في الأسبوع الماضي ، أبلغ باحثون من BlueBox Security عن ما أسموه ثغرة أمنية "المفتاح الرئيسي" ، وهي تقنية تروجانينج تطبيق ما دون تغيير التوقيع الرقمي. هذا الأسبوع ، أبلغ باحث صيني عن طريقة أخرى لإخفاء رمز طروادة.

التوقيع الرقمي غير مكسور

الهدف الكامل من التوقيع رقمياً على مستند أو ملف هو إثبات عدم تعديل الملف. تستخدم العملية شكلاً من أشكال المفاتيح العامة. تقوم بالتوقيع رقمياً على ملف عن طريق تشفيره باستخدام المفتاح الخاص. حقيقة أن الملف المشفر يمكن فك تشفيره باستخدام المفتاح العمومي الخاص بك هو دليل على عدم وجود أي تلاعب. لو عثر BlueBox على طريقة لتعديل ملف فعليًا دون تغيير توقيعه الرقمي ، فقد كان ذلك بمثابة ضربة هائلة لصناعة التشفير بأكملها. لكنهم لم يفعلوا.

ستقوم BlueBox بالإبلاغ عن التفاصيل الكاملة لأبحاثها في مؤتمر Black Hat خلال بضعة أسابيع. ومع ذلك ، نشر باحث ViaForensics Pau Oliva Fora دليلًا على رمز المفهوم الذي يوضح النهج المتبع.

في الحقيقة ، الأمر بسيط للغاية. يتم تعبئة ملفات APK باستخدام إصدار من خوارزمية أرشفة ZIP الواسعة. لن تسمح معظم تطبيقات ZIP لملفين مماثلين في أرشيف واحد ، لكن الخوارزمية نفسها لا تمنع هذا الاحتمال. عند التحقق من التوقيع الرقمي لأحد التطبيقات ، ينظر نظام التشغيل Android إلى أول ملف مطابق ، ولكن عند تنفيذ الملف وتشغيله فعليًا ، فإنه يلتقط آخر ملف . لترويج تطبيق ما ، إذن ، كل ما عليك فعله هو رفع رمز الخبيثة إليه باستخدام اسم موجود بالفعل داخل التطبيق. مظاهرة Fora ليست سوى بضع عشرات من سطور Java code.

هجوم هيكلي آخر

اكتشف باحث صيني يدون باسم Android Security Squad فضولته وذهب للبحث عن طرق أخرى لتخريب عملية التحقق. تعتبر قراءة المنشور المترجم من Google صعبة بعض الشيء ، لكن يبدو أن الهجوم يعتمد على مفهوم علوم الكمبيوتر 101.

تخزن برامج الكمبيوتر أرقام العد في مجموعات ذات حجم ثابت من وحدات البت. على سبيل المثال ، مع ثمانية بتات يمكنك تمثيل الأرقام من 0 إلى 255. إذا كان من الضروري تمثيل الأرقام السالبة ، فإن الاصطلاح القديم هو أن البتة الموجودة في أقصى اليسار تشير إلى رقم سالب. مع ثماني بتات ، يمكنك أيضًا تمثيل الأرقام من -128 إلى 127. يمثل الرقم الثنائي 11111111 إما 255 أو -1 ، اعتمادًا على ما إذا كان المقصود كرقم غير موقّع أو موقّع.

قام Android Security Squad بالضغط على تنسيق رأس ملف APK وعثر على حقل بيانات يفترض أنه إزاحة موجبة ، ولكن يتم تخزينه على أنه عدد صحيح موقّع. يؤدي فرض هذا الحقل على قيمة سالبة معينة إلى قيام أداة تحميل APK بتنفيذ التعليمات البرمجية الضارة ، بدلاً من الرمز الذي تم التحقق منه رقميًا والذي تم التحقق منه بالفعل. حسنًا ، الأمر أكثر تعقيدًا بعض الشيء ، لكن هذا ما يحدث تقريبًا.

عصا مع جوجل اللعب

أيا من هذه الخارقة فعلا يفسد آلية التوقيع الرقمي الروبوت. بدلاً من ذلك ، يستفيد كلاهما من المراوغات في بنية APK لجعل التوقيع الرقمي غير ذي صلة. أيضًا ، لن يمكّن أي منهما تطبيق Trojanized من تجاوز تحليل Google. قامت Google بتحديث Google Play بشكل خاص لتصفية تطبيقات Trojanized باستخدام هجوم "المفتاح الرئيسي" ؛ حتى بدون هذه الخطوة ، من شبه المؤكد أن يحظر الأمان القياسي أي نوع من أنواع تطبيقات Trojanized.

الدرس واضح. احرص دائمًا على الحصول على تطبيقاتك من مصادر مشروعة ، وتحقق دائمًا للتأكد من أن اسم المطور صالح ، وقم بتهيئة هاتفك حتى لا يسمح بتثبيت التطبيقات من "مصادر غير معروفة". انتبه للأذونات التي يطلبها التطبيق ، وكن جاهزًا لإحباط تثبيت ذي مظهر مشبوه. إذا كان مشغل شبكة الجوال يقدم تحديث Android ، فقم دائمًا بتثبيته. انها مجرد الحس السليم!