Domov Bezpečnostní Je to potenciální lék na škodlivé aplikace pro Android?

Je to potenciální lék na škodlivé aplikace pro Android?

Obsah:

Anonim

Trhy aplikací pro Android jsou pro uživatele pohodlným způsobem, jak získávat aplikace. Trhy jsou také vhodným způsobem, jak mohou zlí lidé doručit malware. Majitelé trhu se ke svému kreditu pokoušejí vyčarovat špatné aplikace pomocí bezpečnostních opatření, jako je Google Bouncer. Je smutné, že většina - včetně Bouncera - úkol neplní. Bad kluci téměř okamžitě přišli na to, jak zjistit, kdy Bouncer, emulační prostředí, testoval jejich kód. V dřívějším rozhovoru vysvětlil Jon Oberheide, spoluzakladatel Duo Security a osoba, která společnosti Google oznámila tento problém:


"Aby byl Bouncer efektivní, musí být nerozeznatelný od mobilního zařízení skutečného uživatele. V opačném případě bude škodlivá aplikace schopna zjistit, že běží s Bouncerem a neprovede škodlivé užitečné zatížení."


Dalším způsobem, jak zlí chlapi oklamou Bouncera, je použití logické bomby. V celé své historii logické bomby způsobily chaos na počítačových zařízeních. V tomto případě logická bomba kód tiše potlačuje malware malware, podobně jako Bouncer selhání aktivovat užitečné zatížení, dokud škodlivé aplikace nainstaluje na skutečné mobilní zařízení.


Pointa je, že trhy aplikací pro Android, pokud nejsou účinné při detekci užitečného obsahu škodlivého softwaru v aplikacích, jsou ve skutečnosti hlavním distribučním systémem pro malware.

Nový pohled na starý přístup

Vědecký tým North Carolina State University, Tsung-Hsuan Ho, Daniel Dean, Xiaohui Gu a William Enck, možná našli řešení. Ve svém příspěvku PREC: Practical Root Exploit Containment for Android Devices představil výzkumný tým svou verzi systému detekce anomálií. PREC se skládá ze dvou komponent: jedna, která pracuje s detektorem malwaru v obchodě s aplikacemi, a druhá, která se stahuje s aplikací do mobilního zařízení.


Komponenta obchodu s aplikacemi je jedinečná v tom, že využívá to, co vědci nazývají „klasifikovaným sledováním systémových hovorů“. Tento přístup může dynamicky identifikovat systémová volání z vysoce rizikových komponent, jako jsou knihovny třetích stran (ty, které nejsou součástí systému Android, ale které přicházejí se staženou aplikací). Logika je taková, že mnoho škodlivých aplikací používá své vlastní knihovny.


Systémová volání z vysoce rizikového kódu třetí strany získaného z tohoto monitorování plus data získaná z procesu detekce v obchodě s aplikacemi umožňují PREC vytvořit normální model chování. Model je nahrán do služby PREC ve srovnání se stávajícími modely, pokud jde o přesnost, režii a odolnost vůči napodobování útoků.


Aktualizovaný model je pak připraven ke stažení s aplikací, kdykoli si aplikace vyžádá někdo, kdo navštíví obchod s aplikacemi.


To se považuje za fázi monitorování. Jakmile se model a aplikace PREC stáhnou do zařízení Android, PREC vstoupí do fáze vymáhání - jinými slovy, detekce anomálií a omezování malwaru.

Detekce anomálií

Jakmile jsou aplikace a model PREC uzavřeny na zařízení Android, PREC monitoruje kód třetích stran, konkrétně systémová volání. Pokud se sekvence systémových volání liší od sekvence sledované v obchodě s aplikacemi, PREC určí pravděpodobnost zneužití abnormálního chování. Jakmile PREC zjistí, že aktivita je škodlivá, přesune se do režimu omezování malwaru.

Odstraňování malwaru

Pokud je pochopeno správně, omezování malwaru činí PREC jedinečným, pokud jde o anti-malware pro Android. Vzhledem k povaze operačního systému Android nemohou anti-malware aplikace pro Android odstranit malware nebo jej umístit do karantény, protože každá aplikace je umístěna v karanténě. To znamená, že uživatel musí ručně odstranit škodlivou aplikaci tak, že nejprve najde malware v části Aplikace ve Správci systému zařízení, poté otevře stránku se statistikou aplikace škodlivého softwaru a klepne na „odinstalovat“.


Co dělá PREC jedinečným je to, co vědci nazývají „jemnozrnným zadržovacím mechanismem založeným na zpoždění“. Obecnou myšlenkou je zpomalit podezřelá systémová volání pomocí skupiny samostatných vláken. To vynutí zneužití vypršení časového limitu, což má za následek stav „Aplikace neodpovídá“, kdy aplikace operační systém Android nakonec vypne.


Program PREC by mohl být naprogramován tak, aby zabíjel vlákna systémového volání, ale pokud detektor anomálie udělá chybu, může to přerušit běžné operace aplikace. Spíše než riziko, že vědci vloží zpoždění během provádění podprocesu.


„Naše experimenty ukazují, že většina zneužití kořenů se stane neúčinnými poté, co zpomalíme škodlivé nativní vlákno do určitého bodu. Přístup založený na zpoždění dokáže falešné poplachy řešit elegantněji, protože benigní aplikace nebude trpět selháním nebo ukončením kvůli přechodné falešné alarmy, “vysvětluje článek.

Výsledky testů

Pro vyhodnocení PREC vědci postavili prototyp a otestovali jej proti 140 aplikacím (80 s nativním kódem a 60 bez nativního kódu) - plus 10 aplikací (čtyři známé aplikace využívající root root z projektu Malware Genome a šest aplikací zabalených root root) - který obsahoval malware. Malware zahrnoval verze DroidDream, DroidKungFu, GingerMaster, RATC, ZimperLich a GingerBreak.


Výsledky:

  • PREC úspěšně detekoval a zastavil všechny testované kořenové exploity.
  • Zvýšil nulové falešné poplachy na benigních aplikacích bez nativního kódu. (Tradiční schémata zvyšují 67-92% falešných poplachů na aplikaci.)
  • PREC snížil rychlost falešných poplachů na benigních aplikacích s nativním kódem o více než jednu řádovou velikost oproti tradičním algoritmům detekce anomálií
Podrobné výsledky testů lze nalézt ve výzkumném dokumentu PREC.

Výhody PREC

Kromě dobrých výsledků v testech a předávání funkční metody, která obsahuje malware pro Android, měl PREC rozhodně lepší čísla, pokud jde o falešné pozitivy a ztrátu výkonu. Co se týče výkonu, v článku se uvádí, že „klasifikovaný monitorovací systém PREC ukládá méně než 1% režii a algoritmus detekce anomálie SOM ukládá až 2% režii. Celkově je PREC lehký, což z něj činí praktické zařízení pro chytré telefony“.


Současné systémy detekce škodlivého softwaru používané v obchodech s aplikacemi jsou neúčinné. PREC poskytuje vysokou míru přesnosti detekce, nízké procento falešných poplachů a omezování malwaru - něco, co v současné době neexistuje.

Výzva

Klíčem k tomu, aby PREC fungoval, je buy-in z trhů s aplikacemi. Jde pouze o vytvoření databáze, která popisuje, jak aplikace funguje normálně. PREC je jeden nástroj, který lze použít k dosažení tohoto cíle. Poté, co si uživatel stáhne požadovanou aplikaci, informace o výkonu (profil PREC) půjdou s aplikací a budou použity k základnímu chování aplikace, když je nainstalována v zařízení Android.

Je to potenciální lék na škodlivé aplikace pro Android?