Infekowanie wirusem urządzeń za pomocą emotikonów (emoji).

Jak exploit z emoji działa w praktyce?

Należy pamiętać, że hakerzy często tworzą exploity, gdy wykryją problem z urządzeniem docelowym. Exploit zawiera zazwyczaj ciągi liter i symboli, tak jak w przypadku każdego innego rodzaju kodu.

Badacze Barral i Jaloyan, w wiadomości email wysłanej do portalu Motherboar, napisali, że „scenariusz z prawdziwego życia jest nieco naciągany. Mówiąc bardzo prosto: powiedzmy, że znalazłeś lukę w zabezpieczeniach, ale zanim dostaniesz się do wrażliwej części, dane wejściowe hakera muszą przejść przez filtr emoji. Następnie, aby wykorzystać tę lukę, haker potrzebuje danych wejściowych zawierających tylko emotikony, czyli shellcode (specjalny kod) tylko do emotikonów”
Ów „specjalny kod” daje hakerom „powłokę”, którą mogą używać do wysyłania poleceń do zhakowanego urządzenia.

Wspomniana metoda ataku może być bardzo skuteczna, zważywszy na to, że w obecnym czasie prawdopodobieństwo, że ktoś posiada filtr na emoji jest bardzo niskie

Jayolan wyjaśnił, że wysyłając exploita do docelowego urządzenia, musi on najpierw przejść przez filtr — na przykład, jeśli haker wysyła swój ładunek za pomocą formularza, który akceptuje tylko litery i cyfry, ładunek powinien składać się z liter i cyfr. Tak więc, aby atak emoji zadziałał, musi przejść przez filtr, który akceptuje tylko emoji, o którym badacz powiedział, że w tym momencie nie istnieje!

Poniżej wymieniamy przykładowe shellcode służące do kodowania emotikon:

• QEMU bare-metal shellcodes
• Espressif ESP32-C3 shellcodes
• HiFive Unleashed Linux shellcodes

Przetwarzanie emotikonów może być trudne w przypadku niektórych programów. Nie oznacza to, że emoji można wykorzystać do zhakowania oprogramowania. Fakt, że nie wszystkie komputery i programy obsługują emotikony, wskazuje, że są one na tyle niezbadane i nowatorskie, że wymagają dostosowania do użycia.

Podsumowanie

Świat cyber-zagrożeń zmienia się bardzo dynamicznie. Powyższy przykład pokazuje, że każdy kod może zostać wykorzystany do nieodpowiednich celów.
Warto edukować zarówno zespoły atakujących (RedTeam), jak i obrońców (BlueTeam), pokazując im co jest możliwe. Co nowego powinno skłonić ich do zmiany zachowania.
Zalecamy dokładne przestudiowanie obecnego modelu zagrożeń w firmach, jego poprawę i dostosowanie do obecnych realiów. Nawet najlepsze i najdroższe systemy mogą nas nie ochronić przed takim trywialnym typem ataku, jeśli nie będziemy w stanie się ciągle doskonalić i dostosowywać.

Szczegóły techniczne na temat badania oraz przykład exploit’a składającego się wyłącznie z emotikonów badacze opublikowali na GitHub tutaj.