Magisk und das Shamiko-Modul verstehen: Behauptungen zum Bypassing entlarven Digital.aiAndroid-Sicherheit

Android-Apps sind ein häufiges Ziel für Bedrohungsakteure, die das Verhalten von Anwendungen ändern möchten, und Tools wie Magisk haben an Popularität gewonnen, weil sie erweiterbar sind und relativ versteckt bleiben können. Ein Modul namens Schamiko hat sich als beliebte Wahl für weitere Verstecke herausgestellt Magisk, und unterstreicht die Bedeutung von Sicherheitslösungen, die diese raffinierten Verschleierungstechniken erkennen können.

In diesem Beitrag werden wir uns damit befassen, was Magisk ist, erkunden Magisk-Module im Allgemeinen – was sie sind, einen Überblick darüber, wie sie aufgebaut sind und wie sie in das Android-System integriert sind – und diskutieren Sie später Schamiko. Wir werden auch auf die Behauptungen eingehen, dass Sicherheitsmaßnahmen umgangen werden, wie Anwendungshärten Lösungen bieten umfassenden Schutz vor sich entwickelnden Bedrohungen und den umfassenderen Auswirkungen solcher Tools auf die Sicherheit von Android-Apps.

Was ist Magisk? 

Übersicht über Magisk 

Magisk ist ein beliebtes Tool, mit dem Android-Benutzer Root-Zugriff erhalten, ohne die Kernsystemdateien zu ändern. Indem Magisk das Boot-Image anstelle des System-Images ändert, bleibt es „systemlos“, d. h. es verbirgt Änderungen vor typischen Systemintegritätsprüfungen. Diese Funktion ermöglicht es Benutzern, ihre Geräte zu rooten und gleichzeitig Apps auszuführen, die gerootete Geräte normalerweise blockieren. Dadurch ist Magisk besonders leistungsstark für die Anpassung und Aufrechterhaltung der App-Kompatibilität. Magisk ändert wichtige Partitionen wie Boot.img und ersetzt die init ausführbar mit magiskin, das seine benutzerdefinierten Konfigurationen während des Startvorgangs lädt, ohne direkt mit den Kernsystemdateien von Android zu interagieren¹.

Magisk-Installation

Wenn die Funktion Magisk installiert ist, stellt es die Persistenz über Neustarts hinweg sicher, indem es die init ausführbar mit eigenem magiskin. Der init executable ist eine native Linux-Binärdatei, die als erste ausführbare Datei während des Startvorgangs ausgeführt wird. Durch das Abfangen dieser Phase Magisk kann das Systemverhalten von Anfang an ändern.

Zusätzlich Magisk ändert die init.rc Datei, eine textbasierte Konfigurationsdatei, die Android verwendet, um Befehle zu definieren, die in verschiedenen Phasen des Startvorgangs ausgeführt werden sollen. Die Syntax von init.rc ermöglicht die Ausgabe von Befehlen während des Bootvorgangs und Magisk Patches, um benutzerdefinierte Startaktionen einzuführen und so sicherzustellen, dass seine eigenen Vorgänge nahtlos integriert werden.

Was ist Zygisk? 

Zygisk, Teil der Magisk Framework ermöglicht es Entwicklern, benutzerdefinierten Code in die Zygote Prozess, nachdem er eine neue App erstellt hat oder system_server Prozesse. Diese Injektion erfolgt nach der Spezialisierungsphase und stellt sicher, dass alle Änderungen innerhalb der neu gegabelten Prozesse und nicht innerhalb der Zygote Daemon selbst.

Der Lebenszyklus von Zygisk wird angetrieben durch mehrere PLT-Funktions-Hooks (Procedure Linkage Table) in Schlüsselbibliotheken angeordnet:  

• libandroid_runtime
• Bibliothek
• libnative_bridge 

Diese Haken sind strategisch platziert, um Zygisk Feinkörnige Kontrolle über den Prozess und seinen Lebenszyklus, insbesondere während wichtiger Phasen wie der Prozessinitialisierung.

Die Prozedurverknüpfungstabelle (PLT) ist ein Mechanismus, den der dynamische Linker verwendet, um Funktionsadressen zur Laufzeit aufzulösen, wodurch Bibliotheken Code dynamisch teilen können. Durch das Platzieren von Hooks in der PLT, Zygisk kann Aufrufe wichtiger Funktionen innerhalb der Android-Laufzeitumgebung abfangen und so an verschiedenen Punkten im Lebenszyklus einer App oder eines Systemprozesses benutzerdefiniertes Verhalten einfügen. Dies ermöglicht eine präzise Kontrolle über jede Initialisierungsphase und ermöglicht Entwicklern, das Verhalten während kritischer Phasen der Prozessausführung zu ändern.

Beispielsweise Haken in libandroid_runtime erlauben Zygisk in die Android-Laufzeitumgebung einzugreifen, während Hooks in Bibliothek bieten Kontrolle über die Android Runtime (ART), die für die Ausführung des App-Codes verantwortlich ist. libnative_bridge verwaltet native Bibliotheken und ermöglicht Zygisk um Interaktionen zwischen der Android-Runtime und dem nativen Code zu verwalten. 

Im folgenden Diagramm sehen Sie eine Darstellung der Ausführungsreihenfolge dieser Hooks und wie sie mit dem Prozesslebenszyklus interagieren. 

Was ist Spezialisierung?

Sobald Zygote einen neuen Prozess für eine App oder einen Dienst abspaltet, führt es eine Spezialisierung durch. Bei der Spezialisierung werden Sicherheits-Sandboxing-Maßnahmen angewendet, die das Verhalten und die Berechtigungen des neuen App-Prozesses einschränken. Dadurch wird sichergestellt, dass jede App in einer kontrollierten, isolierten Umgebung ausgeführt wird und das System oder andere Apps nicht beeinträchtigen kann. Während dieses Prozesses setzt das System Richtlinien durch, z. B. das Festlegen von Benutzerberechtigungen, Sicherheitskontexten und anderen Einschränkungen auf App-Ebene. Die Spezialisierung ist entscheidend für die Aufrechterhaltung der sicheren Mehrbenutzerumgebung von Android.

Darüber hinaus verzweigt Zygote einen speziellen Prozess namens system_server, der eine breite Palette von Systemdiensten hostet, die für die Verwaltung wichtiger Android-Vorgänge verantwortlich sind. Diese Dienste steuern, wie Apps mit dem Android-Betriebssystem interagieren, und regeln kritische Komponenten wie Berechtigungen, Geräterichtlinien und App-Lebenszyklusverwaltung. Mit Zygisk können Entwickler sowohl in system_server- als auch in App-Prozesse einsteigen, um deren Verhalten zu ändern oder benutzerdefinierte Funktionen einzuführen. Diese Funktion ist besonders leistungsstark, da Entwickler damit die Funktionsweise von Apps und Diensten in Echtzeit beeinflussen können und so ein hohes Maß an Kontrolle über das Verhalten auf Systemebene erhalten. Der benutzerdefinierte Code wird jedoch innerhalb der Beschränkungen der Sicherheits-Sandbox von Android ausgeführt, d. h. er muss die Berechtigungen und Einschränkungen einhalten, die für die App oder den Systemprozess gelten.

Gängige Anwendungsfälle für Magisk 

• Rooting-Geräte: Viele Benutzer wenden sich an Magisk um Root-Zugriff auf Android zu erhalten, der ein hohes Maß an Anpassung und Kontrolle über ihre Geräte ermöglicht.
• Module installieren: Über das Rooten hinaus Magisk unterstützt auch Module, die die Funktionalität des Android-Systems oder bestehender Apps erweitern oder ändern. 

Im nächsten Abschnitt werden wir untersuchen, wie Zygisk mit Magisk-Modulen zusammenarbeitet, um die Fähigkeiten des Android-Systems weiter zu erweitern.

Was sind Magisk-Module? 

Magisk Module sind Erweiterungen, die es Benutzern ermöglichen, Funktionen hinzuzufügen, Systemkomponenten zu ändern oder das Verhalten von Apps modular zu optimieren. Diese Module sind einer der entscheidenden Gründe für Magisks Popularität, da sie eine Möglichkeit bieten, das Android-Erlebnis einfach anzupassen, ohne die Kernsystemdateien direkt zu ändern. 

Wie sind Magisk-Module aufgebaut? 

Entwickler erstellen Magisk-Module normalerweise mithilfe von Skripten und Konfigurationsdateien, die ihre Änderungen angeben. Sie werden in einem modularen Format entwickelt, das es ermöglicht, sie mithilfe der Magisk Manager-App einfach zum System hinzuzufügen oder daraus zu entfernen. Module können von einfachen Skripten bis hin zu komplexeren Änderungen reichen, je nachdem, was sie erreichen wollen. 

Beispiele für Magisk-Module

• Werbeblocker: Blockieren Sie Anzeigen im gesamten System.
• App-Funktionalitätserweiterungen: Ändern oder erweitern Sie das Verhalten vorhandener Apps, beispielsweise durch Aktivieren versteckter Funktionen.
• Entblößer: Entfernen Sie unerwünschte System-Apps für ein schlankeres und effizienteres Gerät. 

Integration mit dem Android-System: Zygisk 

Ein bemerkenswertes Merkmal von Magisk ist Zygisk, das sich in Androids Zygote Prozess. Zygote ist für das Starten von Anwendungen und Initialisieren von Dalvik/ART verantwortlich und dient als übergeordneter Prozess für Apps. Zygisk lebt innerhalb des App-Prozesses, sodass es Apps von innen verändern und deren Funktionsweise maßgeblich steuern kann. Diese Integration ermöglicht es Magisk, wichtige Lebenszyklusereignisse abzufangen, wie z. B. während der preAppSpezialisieren und postAppSpezialisieren Phasen und zum Anwenden von Hooks, die das Verhalten der App im laufenden Betrieb ändern.

Einführung in Shamiko 

Die Schamiko Modul verbirgt außerdem Magisk und verhindert die Erkennung durch Sicherheitskontrollen. Es arbeitet zusammen Magisk um Benutzern zu helfen, Root-Zugriff zu behalten und gleichzeitig alle Änderungen von Apps zu verbergen, die möglicherweise Sicherheitsrichtlinien für gerootete Geräte haben. Dies unterstreicht den Bedarf an fortschrittlichen Sicherheitslösungen, die solche ausgeklügelten Verstecktechniken erkennen können.

Ansprüche auf Umgehung Digital.ai (Arxan) Sicherheit

Die Entwickler von Schamiko haben behauptet, dass das Modul Sicherheitsmaßnahmen umgehen kann, die implementiert wurden von Digital.ai's (früher Arxan) Android-Schutz. Allerdings trotz seines verschleierten Codes, eine Reverse-Engineering-Analyse von Schamiko hat die spezifischen Techniken offengelegt, mit denen es seine Präsenz verschleiert.

Die Analyse zeigt, dass Schamiko eliminiert einige der Artefakte, die durch Zygiskführt es neue Artefakte in den Prozess ein – Artefakte, die sogar noch leichter zu erkennen sind als jene, die durch Magisk. 

Digital.aiReaktion auf Shamiko und ähnliche Drohungen 

Die Entwickler von Schamiko erstellte das Modul zur Umgehung der Sicherheitsmaßnahmen von Digital.ai und ähnliche Schutzmaßnahmen. Unsere Analyse von Shamikos Evasion-Techniken haben gezeigt, dass, wie bei vielen Rooting-Tools, Versuche, bestimmte Artefakte zu verbergen, oft neue, erkennbare Spuren erzeugen. Dies ist ein häufiges Paradoxon in Prozessmanipulierende Manipulationswerkzeuge: Je mehr sie versuchen, sich zu verstecken, desto mehr Artefakte können sie möglicherweise einbringen, die bei der Erkennung hilfreich sein können. 

Werkzeuge zur Prozessmanipulation, Google Trends, Amazons Bestseller Magisk Module arbeiten direkt im Prozess der Anwendung. Sie ändern Erkennungsmethoden, binden OS-APIs ein oder ändern den Code der Anwendung. Insbesondere Magisk Module arbeiten während der Vorspezialisierung und Post-Spezialisierung Phasen der Prozesserstellung. Dieses Timing bedeutet, dass sie Code vor und nach der vollständigen Initialisierung des Anwendungsprozesses einfügen, wodurch sie das Verhalten der App innerhalb ihres eigenen Prozessraums manipulieren können. Dies ermöglicht zwar eine erhebliche Kontrolle, hinterlässt aber auch prozessinterne Artefakte, die von Lösungen zur Anwendungshärtung erkannt werden können, da diese Änderungen innerhalb der Sandbox zugänglich sind. 

Auf der anderen Seite Werkzeuge zur Manipulation der Umgebung Ändern Sie die Umgebung der Anwendung, häufig auf System- oder Kernelebene. Durch die Änderung von Systemzuständen oder API-Antworten erstellen sie Umgebungsartefakte, die die App erkennen kann und die auf potenzielle Manipulationen hinweisen, selbst wenn das Tool selbst versucht, verborgen zu bleiben. 

Während Werkzeuge mögen Schamiko versuchen, ihre Präsenz zu verschleiern, führen diese Änderungen oft zu zusätzlichen Artefakten, die unsere Sicherheitslösungen erkennen können. Wenn Auswahl einer AnwendungshärtungslösungSuchen Sie nach Produkten, die sowohl Umgebungs- als auch Prozessanomalien erkennen und einen robusten Schutz gegen Manipulationen und unbefugte Änderungen bieten.

Best Practices zum Sichern von Android-Anwendungen gegen Rooting-Tools 

Rooting-Tools oder Rootkits, entwickeln sich ständig weiter, was für Anwendungsentwickler, die ihre Software vor Manipulationen und Erkennungsumgehungstechniken schützen möchten, erhebliche Herausforderungen mit sich bringt. Angesichts der raschen Einführung neuer Methoden ist es für Anwendungsanbieter von entscheidender Bedeutung, spezielle Sicherheitslösungen zu implementieren, die sich an diese Änderungen anpassen können. 

Um effektiv safeUm Android-Anwendungen zu schützen, müssen Sicherheitsmaßnahmen sowohl Prozess- als auch Umgebungsmanipulationstechniken berücksichtigen. Prozessmanipulierende Tools hinterlassen häufig prozessinterne Artefakte, die in der App-Sandbox zugänglich sind, während Tools zur Umgebungsmanipulation den Systemzustand ändern und so erkennbare Anomalien erzeugen können. Das Erkennen dieser charakteristischen Spuren unterstreicht die Bedeutung mehrschichtiger Erkennungsfunktionen in robusten Sicherheitslösungen. 

Digital.ai bietet umfassende Schutzmaßnahmen zum Schutz vor Rooting-Tools und Manipulationsversuchen: 

• • Prüfsummenwächter: Validiert die Integrität des Anwendungscodes, um sicherzustellen, dass nicht autorisierte Änderungen umgehend erkannt werden.
  • Root-Erkennungsschutz: Identifiziert eine große Bandbreite an Rootkits in verschiedenen Versionen und bietet eine zuverlässige Root-Erkennung, auch wenn sich diese Tools weiterentwickeln.

• App-bewusst: Ein Dienst zur Überwachung und Analyse von Anwendungsbedrohungen, der Echtzeit-Einblicke in Angriffe bietet. App Aware protokolliert Guard-Trigger auf einem zentralen Server, sodass Unternehmen Anwendungsbedrohungen überwachen und entsprechend reagieren können.  

Durch die Integration dieser Schutzmaßnahmen können Anwendungsentwickler robuste Sicherheitsmaßnahmen gegen eine Vielzahl von Rooting-Tools einrichten und so die Integrität ihrer Anwendungen bewahren und safeSchutz sensibler Daten.

Informationen zum Schutz von iOS-Anwendungen vor ähnlichen Bedrohungen finden Sie in unserem vorheriger Blog-Beitrag, „Jailbreaks verstehen”, das diese Herausforderungen im iOS-Ökosystem untersucht.

Fazit: Die Herausforderung des Rootings angehen und die Sicherheit zukunftssicher gestalten 

Der Aufstieg von Werkzeugen wie Magisk, mit der Integration über Zygisk und Module wie Schamiko, stellt eine ständige Herausforderung für die Sicherheit von Android-Apps dar. Mit einem proaktiven und adaptiven Ansatz können jedoch trotz der Behauptungen über den Shamiko-Hack Lösungen wie Digital.ai Das Android-Sicherheitspaket bietet robusten Schutz gegen diese sich entwickelnden Bedrohungen. 

 

Wenn Sie Entwickler oder Unternehmen sind und Ihre mobilen Apps vor den neuesten Bedrohungen schützen möchten, sollten Sie Folgendes in Betracht ziehen: Umfassende Sicherheitslösungen von Digital.ai, einschließlich App Aware. Bleiben Sie Angreifern immer einen Schritt voraus und stellen Sie sicher, dass Ihre Apps vor Tools wie Magisk und Shamiko geschützt sind.

1. Wir können zwar nicht beurteilen, ob die Nutzung von Magisk in der jeweiligen Gerichtsbarkeit des Lesers illegal ist, wir wissen jedoch, dass die Nutzung von Magisk einen Verstoß gegen die Android-Nutzungsbedingungen darstellt. Hinweis: Obwohl nicht alle Benutzer von Magisk Bedrohungsakteure sind, ist es safe um zu sagen, dass alle Android-Bedrohungsakteure Magisk verwenden können und dies häufig auch tun.