Sisällysluettelo:
- Uusi käänne vanhaan lähestymistapaan
- Poikkeamien havaitseminen
- Haittaohjelmien säilytys
- Testitulokset
- PREC: n edut
- Haaste
Android-sovellusmarkkinat ovat kätevä tapa käyttäjille hankkia sovelluksia. Markkinat ovat myös kätevä tapa huonoille pojille toimittaa haittaohjelmia. Markkinapaikkojen omistajat yrittävät hävittää huonoja sovelluksia tietoturvatoimenpiteiden, kuten Google Bouncer, avulla. Valitettavasti suurin osa - mukaan lukien Bouncer - eivät ole tehtävänsä mukaisia. Pahat pojat melkein heti keksivät, kuinka kertoa, kun emulointiympäristö Bouncer testaa heidän koodiaan. Aikaisemmassa haastattelussa Jon Oberheide, Duo Securityn perustaja ja henkilö, joka ilmoitti Googlelle ongelmasta, selitti:
"Jotta Bouncerista tulee tehokas, sen on oltava erotettavissa todellisen käyttäjän mobiililaitteesta. Muutoin haittaohjelma pystyy tunnistamaan sen toimivan Bouncerin kanssa eikä suorittamaan sen haitallista hyötykuormaa."
Toinen tapa pahoja kaverit hulluksi on käyttää logiikkapommia. Loogiset pommit ovat historiansa aikana rikkonut tietokonelaitteita. Tässä tapauksessa logiikkapommin koodi hiljaa haittaa haittaohjelmien tarkastajia, kuten Bouncerin epäonnistuminen aktivoimaan hyötykuormaa, kunnes haittaohjelma asentuu todelliseen mobiililaitteeseen.
Tärkeintä on, että Android-sovellusmarkkinat ovat itse asiassa tärkeä haittaohjelmien jakelujärjestelmä, elleivät ne ole tehokkaita havaitsemaan sovellusten haittaohjelmien hyötykuormia.
Uusi käänne vanhaan lähestymistapaan
Pohjois-Carolinan osavaltion yliopiston tutkimusryhmä, jonka muodostavat Tsung-Hsuan Ho, Daniel Dean, Xiaohui Gu ja William Enck, ovat saattaneet löytää ratkaisun. Tutkimusryhmä esitteli lehdessään PREC: Android-laitteiden käytännön juurikasvatussuojaus versionsa poikkeavuuksien havaitsemisjärjestelmästä. PREC koostuu kahdesta komponentista: yksi, joka toimii sovelluskaupan haittaohjelmadetektorin kanssa, ja toinen, joka ladataan sovelluksen mukana mobiililaitteelle.
Sovellusliikekomponentti on ainutlaatuinen siinä mielessä, että siinä käytetään tutkijoiden nimeämää "luokiteltua järjestelmäpuhelunvalvontaa". Tämä lähestymistapa pystyy tunnistamaan dynaamisesti järjestelmäpuhelut korkean riskin komponenteilta, kuten kolmansien osapuolien kirjastoista (ne, jotka eivät sisälly Android-järjestelmään, mutta jotka tulevat ladatun sovelluksen mukana). Tässä logiikan mukaan monet haitalliset sovellukset käyttävät omia kirjastojaan.
Järjestelmäpuhelut tästä seurannasta saadusta korkean riskin kolmannen osapuolen koodista sekä sovelluskaupan havaitsemisprosessista saadut tiedot sallivat PREC: n luoda normaalin toimintamallin. Malli ladataan PREC-palveluun verrattuna olemassa oleviin malleihin tarkkuuden, yleiskustannusten ja jäljitettävyyden kestävyyden suhteen.
Päivitetty malli on sitten valmis ladattavaksi sovelluksen kanssa aina, kun joku sovelluskaupassa käyvä henkilö pyytää sovellusta.
Tätä pidetään seurantavaiheena. Kun PREC-malli ja sovellus on ladattu Android-laitteelle, PREC siirtyy valvontavaiheeseen - toisin sanoen poikkeamien havaitsemiseen ja haittaohjelmien torjuntaan.
Poikkeamien havaitseminen
Kun sovellus ja PREC-malli on otettu käyttöön Android-laitteessa, PREC tarkkailee kolmannen osapuolen koodia, erityisesti järjestelmäpuheluita. Jos järjestelmäpuhelusekvenssi eroaa sovelluskaupassa tarkkailusta, PREC määrittelee todennäköisyyden, että epänormaali käyttäytyminen on hyväksikäyttöä. Kun PREC on todennut toiminnan olevan haitallista, se siirtyy haittaohjelmien suojaustilaan.Haittaohjelmien säilytys
Jos haittaohjelmien eristys ymmärretään oikein, PREC tekee Android-haittaohjelmien torjunnasta ainutlaatuisen. Android-käyttöjärjestelmän luonteen vuoksi Android-haittaohjelmien torjuntaohjelmat eivät pysty poistamaan haittaohjelmia tai asettamaan niitä karanteeniin, koska jokainen sovellus sijaitsee hiekkalaatikossa. Tämä tarkoittaa, että käyttäjän on manuaalisesti poistettava haittaohjelma etsimällä haittaohjelma ensin laitteen Järjestelmänhallinnan Sovellukset-osiosta, avaamalla sitten haittaohjelmasovelluksen tilastosivu ja napauttamalla "Poista".
PREC: n ainutlaatuiseksi tekee se, mitä tutkijat kutsuvat "viivepohjaiseksi hienorakeiseksi suojarakenteeksi". Yleinen idea on hidastaa epäilyttäviä järjestelmäkutsuja erillisten ketjujen avulla. Tämä pakottaa hyväksikäytön vanhentumaan. Seurauksena on tila "Sovellus ei vastaa", jossa Android-käyttöjärjestelmä lopulta sulkee sovelluksen.
PREC voidaan ohjelmoida tappamaan järjestelmäpuhelun ketjut, mutta se saattaa rikkoa normaalit sovellustoiminnot, jos poikkeaman ilmaisin tekee virheen. Sen sijaan, että riskisivät, tutkijat lisäävät viiveen langan suorittamiseen.
"Kokeilumme osoittavat, että suurin osa juurihyödyntämisistä tulee tehottomia, kun hidastamme haitallisen natiivin säiettä tiettyyn pisteeseen. Viivepohjainen lähestymistapa pystyy käsittelemään vääriä hälytyksiä houkuttelevammin, koska hyvänlaatuinen sovellus ei kärsi kaatumisesta tai lopettamisesta siirtymävaiheen väärien takia. hälytykset ", lehti selittää.
Testitulokset
PREC: n arvioimiseksi tutkijat rakensivat prototyypin ja testasivat sitä 140 sovellukselle (80 natiivikoodilla ja 60 ilman natiivikoodia) - plus 10 sovellusta (neljä tunnettua root exploit -sovellusta Malware Genome -projektista ja kuusi uudelleenpakattua root exploit -sovellusta) - joka sisälsi haittaohjelmia. Haittaohjelmat sisälsivät DroidDream-, DroidKungFu-, GingerMaster-, RATC-, ZimperLich- ja GingerBreak-versiot.
Tulokset:
- PREC havaitsi ja pysäytti onnistuneesti kaikki testatut juurinkäytöt.
- Se herätti nolla vääriä hälytyksiä hyvänlaatuisissa sovelluksissa ilman natiivikoodia. (Perinteiset järjestelmät aiheuttavat 67–92% vääriä hälytyksiä sovellukselta.)
- PREC vähensi väärä hälytysprosentti natiivikoodilla olevien hyvänlaatuisten sovellusten kohdalla useammalla kuin yhdellä asteikolla perinteisiin poikkeavuuksien havaitsemisalgoritmeihin verrattuna
PREC: n edut
Sen lisäksi, että PREC oli menestynyt hyvin testeissä ja toimittanut toimivan menetelmän Android-haittaohjelmien sisältämistä varten, PREC: llä oli ehdottomasti parempia lukuja väärien positiivisten tulosten ja suorituskyvyn menetysten suhteen. Suorituskyvyn suhteen paperissa todettiin, että PREC: n "luokiteltu valvontajärjestelmä asettaa alle 1% yläpuolella, ja SOM-poikkeamien havaitsemisalgoritmi aiheuttaa jopa 2% yläpuolella. Kaiken kaikkiaan PREC on kevyt, mikä tekee siitä käytännöllisen älypuhelinlaitteille".
Nykyiset sovelluskauppojen käyttämät haittaohjelmien havaitsemisjärjestelmät ovat tehottomia. PREC tarjoaa korkean havaintotarkkuuden, pienen määrän vääriä hälytyksiä ja haittaohjelmien eristämisen - jota ei tällä hetkellä ole.
Haaste
Avain PRECin toimivuuteen on sisäänostuminen sovellusmarkkinoilta. Kyse on vain tietokannan luomisesta, joka kuvaa sovelluksen normaalia toimintaa. PREC on yksi työkalu, jota voidaan käyttää tämän saavuttamiseen. Sitten, kun käyttäjä lataa halutun sovelluksen, suoritustiedot (PREC-profiili) kulkevat sovelluksen mukana, ja niitä käytetään perustana sovelluksen käyttäytymiseen, kun se on asennettu Android-laitteeseen.
