华为Mate X6 成为网络安全圈内抵御入侵技术的焦点

本周在加拉加斯，总统尼古拉斯·马杜罗（Nicolás Maduro）宣称华为Mate X6不受美国间谍活动的影响。

这一宣布恰逢华盛顿和北京之间的紧张局势加剧，因为美国对中国电信设备实施严格控制。

除了其政治象征意义之外，Mate X6 还成为网络安全圈内关于其抵御复杂入侵技术的所谓弹性的技术辩论的焦点。

初步报告描述了一种新型固件级恶意软件（代号为 SpecterShell），该恶意软件于 8 月初出现，针对高端 Android 设备。

SpecterShell 利用自定义引导加载程序漏洞，在作系统内核初始化之前拦截系统调用。

通过篡改启动顺序，恶意软件可以植入一个对标准防病毒解决方案不可见的 rootkit。

路透社分析师指出，此功能允许 SpecterShell 执行特权代码并绕过 Android 经过验证的启动机制。

SpecterShell 的攻击媒介包括受损的供应链更新和恶意无线包。

在典型情况下，攻击者会拦截更新服务器请求，用受污染的固件映像替换合法固件映像，并使用被盗的开发人员证书对其进行签名。接受替换映像的设备将永久变为后门。

SpecterShell 的隐蔽性和持久性促使政府和私人安全公司重新评估对固件签名基础设施的信任，因为即使是加密通道也可能在如此低的级别下被颠覆。

SpecterShell 的影响超出了个人隐私。受感染的设备可以被征召到僵尸网络中进行分布式拒绝服务活动，或者通过泄露敏感通信来利用企业间谍活动。

尽管华为坚持严格的内部安全审计，但外部研究人员对潜在的隐藏能力表示担忧，特别是考虑到该公司在有义务的情况下与国家情报部门合作的国家授权历史。

感染机制

SpecterShell 的感染机制取决于利用 Verified Boot 信任链。在设备启动时，引导加载程序通常使用加密签名验证每个阶段（引导加载程序、引导映像和系统分区）的完整性。

SpecterShell 通过在内存中修补引导加载程序的验证例程，将签名检查重定向到恶意处理程序来规避这一点。

补丁的简化伪代码说明如下所示：-

// Simplified SpecterShell bootloader patch
int verify_partition(char* partition, uint8_t* signature) {
    if (strcmp(partition, "boot") == 0) {
        // Bypass signature check for boot partition
        return SUCCESS;
    }
    return original_verify(partition, signature);
}

此代码片段演示了 SpecterShell 如何有条件地仅绕过关键分区的身份验证，在嵌入持久 Rootkit 的同时保留系统功能。

通过在运行时拦截分区验证，它不会在磁盘上留下取证痕迹，从而使检测和删除工作变得复杂。