Ar tai gali išgydyti kenksmingas „Android“ programas?

„Android“ programų rinkos yra patogus būdas vartotojams gauti programas. Rinkos taip pat yra patogus būdas blogi vyrukai pristatyti kenkėjiškas programas. Turgavietės savininkai, norėdami prisipažinti, bando užuosti netinkamas programas naudodamiesi tokiomis saugos priemonėmis kaip „Google Bouncer“. Deja, dauguma, įskaitant Bouncerį, neatlieka savo užduoties. Blogi vaikinai beveik iškart suprato, kaip pasakyti, kai emuliacijos aplinka „Bouncer“ išbandė jų kodą. Ankstesniame interviu Jon Oberheide, „Duo Security“ įkūrėjui ir asmeniui, kuris „Google“ pranešė apie problemą, paaiškino:

"Kad„ Bouncer “būtų veiksmingas, jis turi būti neatskiriamas nuo realaus vartotojo mobiliojo įrenginio. Priešingu atveju kenkėjiška programa galės nustatyti, ar jis veikia su„ Bouncer “, o ne vykdyti savo kenksmingą naudingą apkrovą.“

Kitas būdas, kaip blogi vyrukai kvailioja „Bouncer“, yra naudojant loginę bombą. Per visą savo istoriją logikos bombos smogė kompiuterių įrenginiams. Tokiu atveju loginis bombos kodas tyliai užgniaužia kenkėjiškų programų tikrintojus, panašiai kaip „Bouncer“ nesugebėjimas suaktyvinti naudingosios apkrovos, kol kenkėjiška programa neįdiegiama realiame mobiliajame įrenginyje.

Esmė ta, kad „Android“ programų rinkos, nebent jos efektyviai aptinka kenkėjiškų programų naudingas apkrovas, iš tikrųjų yra pagrindinė kenkėjiškų programų platinimo sistema.

Naujas požiūris į seną požiūrį

Šiaurės Karolinos valstijos universiteto Tsung-Hsuan Ho, Danielio Deano, Xiaohui Gu ir Williamo Encko tyrimų komanda galėjo rasti sprendimą. Savo darbe PREC: „Android“ įrenginių praktinis šaknų išnaudojimo draudimas, tyrimo komanda pristatė savo anomalijų aptikimo schemos versiją. PREC sudaro du komponentai: vienas, kuris veikia su „App Store“ kenkėjiškų programų detektoriumi, ir tas, kuris atsisiųstas kartu su programa į mobilųjį įrenginį.

„App Store“ komponentas yra išskirtinis tuo, kad jame dirba tai, ką tyrėjai vadina „įslaptintu sistemos skambučių stebėjimu“. Šis metodas gali dinamiškai atpažinti sistemos skambučius iš didelės rizikos komponentų, tokių kaip trečiųjų šalių bibliotekos (tų, kurios neįtrauktos į „Android“ sistemą, bet pateikiamos kartu su atsisiųsta programa). Logika yra ta, kad daugelis kenkėjiškų programų naudoja savo bibliotekas.

Sistemos skambučiai iš padidintos rizikos trečiųjų šalių kodo, gauto vykdant šį stebėjimą, taip pat duomenys, gauti iš „App-Store“ aptikimo proceso, leidžia PREC sukurti įprastą elgesio modelį. Modelis yra įkeltas į PREC tarnybą, palyginti su esamais modeliais, siekiant tikslumo, pridėtinės vertės ir tvirtumo imituojant išpuolius.

Tada atnaujintą modelį bus galima atsisiųsti kartu su programa, kai tik to paprašys kažkas, apsilankęs programų parduotuvėje.

Tai laikoma stebėjimo etapu. Kai PREC modelis ir programa yra atsisiunčiami į „Android“ įrenginį, PREC patenka į vykdymo etapą - kitaip tariant, anomalijų aptikimas ir kenkėjiškų programų ribojimas.

Anomalijos nustatymas

Pritaikius programą ir PREC modelį „Android“ įrenginyje, PREC stebi trečiosios šalies kodą, ypač sistemos skambučius. Jei sistemos skambučių seka skiriasi nuo programų parduotuvėje stebimos sekos, PREC nustato neįprasto elgesio išnaudojimo tikimybę. Kai PREC nustato, kad veikla yra kenkėjiška, ji pereina į kenkėjiškų programų izoliavimo režimą.

Kenkėjiškų programų turinys

Jei teisingai suprantate, kenkėjiškų programų turinys daro PREC unikalų, kai kalbama apie „Android“ kenkėjiškas programas. Dėl „Android“ operacinės sistemos pobūdžio „Android“ apsaugos nuo kenkėjiškų programų nepavyksta pašalinti kenkėjiškų programų ar patalpinti jų karantine, nes kiekviena programa yra smėlio dėžėje. Tai reiškia, kad vartotojas turi rankiniu būdu pašalinti kenkėjišką programą, pirmiausia aptikdamas kenkėjišką programą įrenginio sistemos tvarkyklės skiltyje „Taikymas“, tada atidarydamas kenkėjiškos programos statistikos puslapį ir bakstelėdamas „pašalinti“.

PREC unikalumą daro tai, ką tyrėjai vadina „vėlavimu pagrįstu smulkiagrūdžio izoliavimo mechanizmu“. Bendra idėja yra sulėtinti įtartinus sistemos skambučius, naudojant atskirų gijų rinkinį. Dėl šios priežasties eksploatacija turi būti nutraukta. Dėl to būsena „Programa nereaguoja“, kai programą galiausiai išjungia „Android“ operacinė sistema.

PREC gali būti užprogramuotas sunaikinti sistemos skambučių gijas, tačiau tai gali pažeisti įprastas taikymo operacijas, jei anomalijos detektorius padaro klaidą. Užuot rizikavę, tyrėjai įterpia delsą vykdant giją.

"Mūsų eksperimentai rodo, kad dauguma šaknies išnaudojimų tampa neveiksmingi, kai sulėtiname kenksmingą vietinį giją iki tam tikro taško. Pavėluotai pagrįstas požiūris gali maloniau valdyti melagingus pavojaus signalus, nes gerybinis taikymas nepatirs gedimo ar nutraukimo dėl trumpalaikio klaidingo. aliarmai “, - aiškinama publikacijoje.

Testo rezultatai

Norėdami įvertinti PREC, tyrėjai sukūrė prototipą ir išbandė jį pagal 140 programų (80 su savuoju kodu ir 60 be vietinio kodo) - plius 10 programų (keturios žinomos „rootware“ programos iš „Malware Genome“ projekto ir šešios perpakuotos „root exploit“ programos) - kuriame buvo kenkėjiškų programų. Į kenkėjiškas programas buvo įtrauktos „DroidDream“, „DroidKungFu“, „GingerMaster“, „RATC“, „ZimperLich“ ir „GingerBreak“ versijos.

Rezultatai:

• PREC sėkmingai aptiko ir sustabdė visus patikrintus šaknies išnaudojimus.
• Tai sukėlė nulinį klaidingą aliarmą dėl gerybinių programų be vietinio kodo. (Tradicinės schemos sukuria 67–92% melagingų aliarmų kiekvienoje programoje.)
• PREC sumažino klaidingą aliarmo dažnį gerybinėms programoms su natūraliu kodu daugiau nei viena laipsnio tvarka, palyginti su tradiciniais anomalijų aptikimo algoritmais.

Išsamius testų rezultatus galite rasti PREC tyrimo dokumente.

PREC pranašumai

Be to, kad PREC ne tik gerai atliko bandymus, bet ir pateikė veiksmingą metodą, kuriame yra „Android“ kenkėjiškų programų, „PREC“, be abejo, turėjo geresnių skaičių, kai buvo klaidingai teigiama ir prarandama našumas. Kalbant apie našumą, dokumente teigiama, kad PREC klasifikuota stebėjimo schema sukuria mažiau nei 1% pridėtinių išlaidų, o SOM anomalijos aptikimo algoritmas uždirba iki 2% pridėtinių išlaidų. Apskritai PREC yra lengvas, todėl tai yra praktiška išmaniųjų telefonų įrenginiams.

Dabartinės kenkėjiškų programų aptikimo sistemos, naudojamos programų parduotuvėse, yra neveiksmingos. PREC teikia aukštą aptikimo tikslumą, mažą klaidingų pavojaus signalų procentą ir kenkėjiškų programų saugojimą - to, ko šiuo metu nėra.

Iššūkis

Svarbiausias PREC veikimo principas yra pirkimas iš programų prekyviečių. Reikia sukurti duomenų bazę, kurioje būtų aprašyta, kaip programa veikia normaliai. PREC yra viena iš priemonių, kurią galima naudoti tam pasiekti. Tada, kai vartotojas atsisiunčia norimą programą, našumo informacija (PREC profilis) eina kartu su programa ir bus naudojama norint įvertinti programos elgesį, kai ji bus įdiegta „Android“ įrenginyje.