תוכן עניינים:
שוקי יישומי אנדרואיד הם דרך נוחה למשתמשים להשיג אפליקציות. השווקים הם גם דרך נוחה עבור הרעים להעביר תוכנות זדוניות. לזכותם, בעלי השוק מנסים לרחרח אפליקציות גרועות באמצעות אמצעי אבטחה כמו Google Bouncer. למרבה הצער, רובם - כולל סדרן - אינם עומדים במשימה. חבר'ה הרעים כמעט מיד גילו כיצד לדעת מתי סדרן, סביבת אמולציה, בוחן את הקוד שלהם. בראיון מוקדם יותר הסביר ג'ון אוברהייד, מייסד שותף של Duo Security ומי שהודיע ל- Google על הבעיה, :
"כדי להפוך את ה- Bouncer ליעיל, עליו להבדיל מהמכשיר הנייד של משתמש אמיתי. אחרת, יישום זדוני יוכל לקבוע שהוא פועל עם Bouncer ולא לבצע את העומס הזדוני שלו."
דרך נוספת שהחבר'ה מרעילים להטעות את סדרן העבודה היא באמצעות פצצת היגיון. לאורך ההיסטוריה שלהם, פצצות לוגיות עוררו הרס במכשירי מחשוב. במקרה זה, קוד פצצה לוגית מסכל בשקט בודקי תוכנות זדוניות, בדומה לכישלונו של Bouncer בהפעלת העומס עד שהתקנת האפליקציה הזדונית במכשיר נייד ממש.
בשורה התחתונה, אפליקציות אנדרואיד משווקות, אלא אם הן מתייעלות באיתור עומסי תוכנות זדוניות באפליקציות, הן למעשה מערכת הפצה מרכזית לתוכנות זדוניות.
טוויסט חדש לגישה ישנה
יתכן וצוות המחקר של אוניברסיטת צפון קרוליינה של צונג-הסואן הו, דניאל דין, שיאוחוי גוי וויליאם אנק מצא פיתרון. במחקר ה- PREC שלהם: Convention Exploit Convention Convention עבור התקני אנדרואיד, הציג צוות המחקר את גרסתם לתכנית לגילוי אנומליות. PREC מורכב משני רכיבים: אחד שעובד עם גלאי התוכנות הזדוניות של חנות האפליקציות, ואחד שמוריד באמצעות האפליקציה למכשיר הנייד.
רכיב חנות האפליקציות ייחודי בכך שהוא מעסיק את מה שהחוקרים מכנים "ניטור שיחות מערכת מסווגות". גישה זו יכולה לזהות באופן דינמי שיחות מערכת ממרכיבי סיכון גבוה כמו ספריות צד ג '(אלה שלא כלולות במערכת אנדרואיד, אך מגיעות עם היישום שהורד). ההיגיון כאן הוא שאפליקציות זדוניות רבות משתמשות בספריות שלהם.
שיחות מערכת מקוד צד שלישי בסיכון גבוה המתקבל מניטור זה, בתוספת הנתונים המתקבלים מתהליך איתור חנות האפליקציות, מאפשרים ל- PREC ליצור מודל התנהגות רגיל. הדגם מועלה לשירות PREC, בהשוואה לדגמים הקיימים לצורך דיוק, תקורה וחוסן להתקפות חיקוי.
לאחר מכן המודל המעודכן מוכן להורדה עם האפליקציה בכל פעם שהאפליקציה מתבקשת על ידי מישהו שמבקר בחנות האפליקציות.
זה נחשב לשלב הניטור. ברגע שמורידים את המודל והיישום של PREC למכשיר האנדרואיד, PREC נכנס לשלב האכיפה - במילים אחרות, איתור חריגות והכלה של תוכנות זדוניות.
גילוי אנומלי
ברגע שהאפליקציה ודגם ה- PREC משועבדים במכשיר האנדרואיד, PREC עוקבת אחר קוד הצד השלישי, במיוחד שיחות מערכת. אם רצף השיחות של המערכת שונה מזה שנמצא בחנות האפליקציות, PREC קובע את הסבירות שההתנהגות הלא תקינה היא ניצול. ברגע ש- PREC קובע שהפעילות היא זדונית, היא עוברת למצב הכלה של תוכנות זדוניות.הטמעת תוכנות זדוניות
אם מובנים אותם נכון, הכלה של תוכנות זדוניות הופכת את PREC לייחודית בכל הנוגע לאנטי-תוכנות זדוניות באנדרואיד. בשל אופיה של מערכת ההפעלה אנדרואיד, אפליקציות אנטי-תוכנות זדוניות לאנדרואיד אינן מסוגלות להסיר תוכנות זדוניות או למקם אותה בהסגר מכיוון שכל יישום שוכן בארגז חול. משמעות הדבר היא שעל המשתמש להסיר ידנית את האפליקציה הזדונית על ידי איתור תחילה של תוכנות זדוניות בחלק היישומים במנהל המערכת של המכשיר, ואז לפתוח את דף הסטטיסטיקות של אפליקציית התוכנה הזדונית ולהקיש על "הסר התקנה".
מה שמייחד את ה- PREC הוא מה שהחוקרים מכנים "מנגנון הבליעה עדין על בסיס עיכוב". הרעיון הכללי הוא להאט שיחות מערכת חשודות באמצעות מאגר של חוטים נפרדים. זה מכריח את הניצול לפסק זמן, וכתוצאה מכך מצב "יישום לא מגיב" בו האפליקציה מושבתת בסופו של דבר על ידי מערכת ההפעלה אנדרואיד.
ניתן לתכנת PREC להרוג את האשכולים של שיחת המערכת, אך היא עשויה לשבור פעולות יישום רגילות אם גלאי האנומליה יטעה. במקום להסתכן בכך, החוקרים מכניסים עיכוב במהלך ביצוע החוט.
"הניסויים שלנו מראים שרוב ניצולי השורש הופכים ללא יעילים לאחר שאנו מאטים את החוט המקורי הזדוני עד לנקודה מסוימת. הגישה מבוססת העיכוב יכולה להתמודד עם אזעקות השווא בצורה חיננית יותר מאחר שהיישום השפיר לא יסבול מהתרסקות או סיום בגלל שקר חולף אזעקות ", מסביר העיתון.
תוצאות מבחן
כדי להעריך את PREC, החוקרים בנו אב-טיפוס ובחנו אותו כ -140 אפליקציות (80 עם קוד מקורי ו -60 ללא קוד מקורי) - בתוספת 10 אפליקציות (ארבע אפליקציות ידועות המנצלות את השורש מפרויקט Malware Genome, ושישה יישומי ניצול שורש שנארזו מחדש) - שהכיל תוכנה זדונית. התוכנה הזדונית כללה גרסאות של DroidDream, DroidKungFu, GingerMaster, RATC, ZimperLich ו- GingerBreak.
התוצאות:
- PREC זיהה בהצלחה ועצרה את כל ניצולי השורש שנבדקו.
- זה העלה אפס אזעקות שווא ביישומים שפירים ללא קוד מקורי. (מזימות מסורתיות מעלות 67-92% אזעקות שווא לאפליקציה.)
- PREC הפחיתה את שיעור האזעקה השגוי ביישומים שפירים עם קוד מקומי ביותר מסדר גודל אחד מעל אלגוריתמי זיהוי אנומליות מסורתיים.
היתרונות של PREC
מלבד ביצוע טוב במבחנים והעברת שיטה מעשית להכיל תוכנות זדוניות באנדרואיד, PREC הצליחה מספרים טובים יותר בכל מה שקשור לחיוביות שגויות ואובדן ביצועים. באשר לביצועים, נכתב בעיתון כי "תכנית הניטור המסווגת של PREC מטילה תקורה של פחות מ -1%, ואלגוריתם איתור אנומליות של SOM מטיל תקורה של עד 2%. בסך הכל, PREC היא קלת משקל, מה שהופך אותה למעשית עבור מכשירי סמארטפון."
מערכות גילוי זדוניות נוכחיות המשמשות חנויות אפליקציות אינן יעילות. PREC מספקת רמה גבוהה של דיוק איתור, אחוז נמוך של אזעקות שווא והכלה של תוכנות זדוניות - דבר שאינו קיים כרגע.
האתגר
המפתח ליצירת PREC הוא רכישה משוקי האפליקציות. זה רק עניין של יצירת בסיס נתונים המתאר את ביצועי היישום כרגיל. PREC הוא כלי אחד שניתן להשתמש בו כדי להשיג זאת. לאחר מכן, כאשר משתמש מוריד אפליקציה רצויה, פרטי הביצועים (פרופיל PREC) הולכים עם האפליקציה וישמשו לבסיס קו ההתנהגות של האפליקציה בזמן שהיא מותקנת במכשיר אנדרואיד.