Satura rādītājs:
- Jauns pagrieziens uz veco pieeju
- Anomāliju noteikšana
- Ļaunprātīgas programmatūras ierobežošana
- Testa rezultāti
- PREC priekšrocības
- Izaicinājums
Android lietojumprogrammu tirgi ir ērts veids, kā lietotāji var iegūt lietotnes. Tirgi ir arī ērts veids, kā sliktajiem puišiem piegādāt ļaunprātīgu programmatūru. Tirdzniecības vietu īpašnieki, ņemot vērā viņu kredītvērtējumu, mēģina izšņaukt sliktas lietotnes, izmantojot tādus drošības pasākumus kā Google Bouncer. Diemžēl lielākā daļa - ieskaitot Bouncer - netiek galā ar šo uzdevumu. Slikti puiši gandrīz uzreiz izdomāja, kā pateikt, kad emulācijas vide Bouncer testē viņu kodu. Iepriekšējā intervijā Džons Oberheide, uzņēmuma Duo Security līdzdibinātājs un persona, kas paziņoja Google par problēmu, paskaidroja:
"Lai Bouncer būtu efektīvs, tam jābūt atdalāmam no reāla lietotāja mobilās ierīces. Pretējā gadījumā ļaunprātīga lietojumprogramma varēs noteikt, ka tā darbojas ar Bouncer, nevis izpildīt tā ļaunprātīgo derīgo slodzi."
Vēl viens veids, kā sliktie puiši muļķo Bouncer, ir loģikas bumbas izmantošana. Visā vēsturē loģikas bumbas ir nodarījušas postījumus skaitļošanas ierīcēm. Šajā gadījumā loģikas bumbas kods mierīgi kavē ļaunprātīgas programmatūras pārbaudītājus, līdzīgi kā Bouncer nespēja aktivizēt derīgo kravu, kamēr ļaunprātīgā lietotne nav instalēta faktiskajā mobilajā ierīcē.
Vissvarīgākais ir tas, ka Android lietotņu tirgi, ja vien tie efektīvi neveic ļaunprātīgas programmatūras lielo daudzumu noteikšanu lietotnēs, faktiski ir galvenā ļaunprātīgas programmatūras izplatīšanas sistēma.
Jauns pagrieziens uz veco pieeju
Iespējams, ka risinājumu ir atraduši Ziemeļkarolīnas štata universitātes pētnieku grupa Tsung-Hsuan Ho, Daniel Dean, Xiaohui Gu un William Enck. Savā rakstā PREC: Android ierīču praktiskais sakņu izmantošanas ierobežojums pētniecības grupa iepazīstināja ar savu anomāliju noteikšanas shēmas versiju. PREC sastāv no diviem komponentiem: viena, kas darbojas ar lietotņu veikala ļaunprātīgas programmatūras detektoru, un viena, kas kopā ar lietojumprogrammu tiek lejupielādēta mobilajā ierīcē.
Lietotņu veikala komponents ir unikāls ar to, ka tajā tiek izmantots tas, ko pētnieki sauc par "klasificētu sistēmas zvanu uzraudzību". Šī pieeja var dinamiski noteikt sistēmas zvanus no augsta riska komponentiem, piemēram, trešo pušu bibliotēkām (tās, kuras nav iekļautas Android sistēmā, bet kuras nāk kopā ar lejupielādēto lietojumprogrammu). Šeit loģika ir tāda, ka daudzas ļaunprātīgas lietotnes izmanto savas bibliotēkas.
Sistēmas zvani no paaugstināta riska trešās puses koda, kas iegūts no šī monitoringa, kā arī dati, kas iegūti lietotņu veikala atklāšanas procesā, ļauj PREC izveidot normālu uzvedības modeli. Modelis tiek augšupielādēts PREC pakalpojumā, salīdzinot ar esošajiem modeļiem, lai iegūtu precizitāti, pieskaitāmību un noturību pret mīmikas uzbrukumiem.
Atjauninātais modelis pēc tam ir gatavs lejupielādēšanai kopā ar lietojumprogrammu katru reizi, kad lietotni pieprasa kāds, kas apmeklē lietotņu veikalu.
Tas tiek uzskatīts par uzraudzības posmu. Kad PREC modelis un lietojumprogramma ir lejupielādēta Android ierīcē, PREC nonāk izpildes posmā - citiem vārdiem sakot, anomāliju noteikšana un ļaunprātīgas programmatūras ierobežošana.
Anomāliju noteikšana
Kad lietotne un PREC modelis ir izveidots Android ierīcē, PREC uzrauga trešās puses kodu, īpaši sistēmas zvanus. Ja sistēmas zvana secība atšķiras no lietotņu veikalā pārraudzītā secības, PREC nosaka varbūtību, ka neparasta rīcība tiek izmantota. Tiklīdz PREC konstatē, ka darbība ir ļaunprātīga, tā pāriet kaitīgās programmatūras ierobežošanas režīmā.Ļaunprātīgas programmatūras ierobežošana
Ja tas tiek pareizi izprasts, ierobežošana ar ļaunprātīgu programmatūru padara PREC unikālu, kad runa ir par Android pret ļaunprātīgu programmatūru. Android operētājsistēmas rakstura dēļ Android pret ļaundabīgo programmu lietojumprogrammas nespēj noņemt ļaunprātīgu programmatūru vai ievietot to karantīnā, jo katra lietojumprogramma atrodas smilšu kastē. Tas nozīmē, ka lietotājam ir manuāli jānoņem ļaunprātīgā lietotne, vispirms atrodot ļaunprogrammatūru ierīces sistēmas pārvaldnieka sadaļā Lietojumprogrammas, pēc tam atverot ļaunprātīgas programmatūras lietotnes statistikas lapu un pieskaroties “atinstalēt”.
Tas, kas padara PREC unikālu, ir tas, ko pētnieki dēvē par "uz kavēšanos balstītu smalkgraudainu ierobežošanas mehānismu". Galvenā ideja ir palēnināt aizdomīgus sistēmas zvanus, izmantojot atsevišķu pavedienu kopu. Tas liek ekspluatācijai pārtraukt laiku, kā rezultātā tiek iegūts statuss “Lietojumprogramma neatbild”, kurā Android operētājsistēma galu galā izslēdz lietotni.
PREC varētu būt ieprogrammēts, lai iznīcinātu sistēmas zvana pavedienus, taču tas var sabojāt normālas lietojumprogrammas darbības, ja anomālijas detektors pieļauj kļūdu. Tā vietā, lai riskētu, pētnieki ievieto pavedienu izpildes kavēšanos.
"Mūsu eksperimenti rāda, ka vairums sakņu lietojumu kļūst neefektīvi pēc tam, kad mēs palēninām ļaunprātīgo vietējo pavedienu līdz noteiktam punktam. Uz nokavēšanos balstīta pieeja var daudz graciozāk rīkoties ar viltus trauksmēm, jo labdabīgā lietojumprogramma necietīs no avārijām vai pārtraukšanas īslaicīgas nepatiesas kļūdas dēļ. trauksmes, "paskaidro papīrs.
Testa rezultāti
Lai novērtētu PREC, pētnieki izveidoja prototipu un pārbaudīja to, izmantojot 140 lietotnes (80 ar vietējo kodu un 60 bez vietējā koda) - plus 10 lietotnes (četras zināmas root exploit programmas no Malware Genome projekta un sešas pārsaiņotas root exploit programmas). kurā bija ļaunprātīga programmatūra. Ļaunprātīga programmatūra ietvēra DroidDream, DroidKungFu, GingerMaster, RATC, ZimperLich un GingerBreak versijas.
Rezultāti:
- PREC veiksmīgi pārbaudīja un apturēja visus pārbaudītos sakņu ieguvumus.
- Tas radīja nulles viltus trauksmes labdabīgajās lietojumprogrammās bez vietējā koda. (Tradicionālās shēmas rada viltus trauksmes par 67–92% no vienas lietotnes.)
- PREC samazināja viltus trauksmes līmeni labdabīgām lietojumprogrammām ar dabisko kodu par vairāk nekā vienu magnitūdas pakāpi salīdzinājumā ar tradicionālajiem anomāliju noteikšanas algoritmiem.
PREC priekšrocības
Papildus labiem rezultātiem testos un efektīvas metodes nosūtīšanai, lai saturētu Android ļaunprātīgu programmatūru, PREC bija acīmredzami labāki skaitļi, ja bija kļūdaini pozitīvi rezultāti un veiktspējas zudumi. Runājot par veiktspēju, rakstā teikts, ka PREC "klasificētā uzraudzības shēma rada mazāk nekā 1% virs galvas, un SOM anomālijas noteikšanas algoritms uzliek līdz 2% virs galvas. Kopumā PREC ir viegls, kas padara to praktisku viedtālruņu ierīcēm".
Pašreizējās ļaunprātīgas programmatūras noteikšanas sistēmas, kuras izmanto lietotņu veikali, nav efektīvas. PREC nodrošina augstu atklāšanas precizitātes pakāpi, mazu viltus trauksmju procentuālo daudzumu un ļaunprātīgas programmatūras ierobežošanu - kaut ko tādu, kas patlaban nepastāv.
Izaicinājums
PREC darbības uzsākšanas atslēga ir iegāde no lietotņu tirgus. Atliek tikai izveidot datu bāzi, kurā būtu aprakstīts, kā lietojumprogramma darbojas normāli. PREC ir viens no instrumentiem, ko var izmantot šī mērķa sasniegšanai. Pēc tam, kad lietotājs lejupielādēs vēlamo lietojumprogrammu, informācija par veiktspēju (PREC profils) tiks pievienota lietotnei, un tā tiks izmantota, lai novērtētu lietotnes izturēšanos, kamēr tā tiek instalēta Android ierīcē.
