Víte, jak Google odhaluje škodlivé aplikace? Nahlédněte pod pokličku!
Google na svém oficiálním blogu pro vývojáře nastínil proces vyhledávání škodlivých aplikací. V příspěvku softwarová inženýrka Megan Ruthven pojednává o bezpečnostní funkci ověřování aplikací, sloužící k odhalení malwaru nainstalovaného zařízení. Jak tedy Google odhaluje škodlivé aplikace?
Ověřování aplikací („Verify Apps“) je bezpečnostní funkce, zavedená v Androidu 6.0 Marshmallow, která pravidelně kontroluje aplikace stažené z Obchodu Play. Během tohoto procesu se kontroluje, zdali jsou všechny programy bezpečné. V případě, že je nalezen škodlivý program, je uživatel varován a je mu nabídnuta odinstalace.
Megan Ruthven se zaměřila na situace, kdy zařízení přestane s touto funkcí komunikovat. To se děje v případech, kdy je zařízení vypnuté, nebo pokud se v systému děje něco nežádoucího. Ve druhém případě se to s velkou pravděpodobností děje proto, že je v zařízení aplikace, která se odmítá identifikovat proti databázi ověřování aplikací. Za takových okolností je zařízení považováno za „mrtvé nebo nebezpečné“ (Dead or Insecure – DOI). Aplikace, po jejíž instalaci dochází v „dostatečně vysokém procentu“ k tomuto stavu, je poté považována za nebezpečnou. Naopak jestliže kontrola pomocí Verify Apps na zařízení funguje, lze poslední nainstalovanou aplikaci považovat za bezpečnou.
Princip, jak Google odhaluje škodlivé aplikaceGoogle odhaluje škodlivé aplikace pomocí „DOI skóre“
K vyhodnocení úrovně nebezpečí je aplikacím přidělováno „DOI skóre“, vycházející z počtu zařízení, na která byla aplikace instalována v průběhu jednoho dne. Ve vzorci se počítá například s tím, v kolika případech nedošlo po instalaci programu k přerušení ověřování aplikací. Celý výpočet můžete vidět na následujícím obrázku.
Používaný vzorecVysvětleme si jednotlivé proměnné:
- N = počet zařízení, která stáhla aplikace.
- x = počet zařízení, která stáhla aplikaci a funkce Verify Apps na nich funguje.
- p = Pravděpodobnost, že zařízení stáhne aplikaci, která je v pořádku.
- Z = DOI skóre
Pokud DOI skóre klesne pod hodnotu -3,7, znamená to, že významný počet telefonů a/nebo tabletů pozastavil kontrolu po instalaci podezřelé aplikace. Google pak kombinuje toto skóre s blíže nespecifikovanými „jinými informacemi“, na základě kterých získá informaci o tom, zda je program skutečně škodlivý. Poté přijme opatření, jako je například odstranění aplikace, nebo zabránění dalším instalacím. V případě, že škodlivý program využíval nějaké bezpečnostní díry, je tato informace předána vývojářům, kteří vydají záplatu.
Samozřejmě nejde o jedinou metodu vyhledávání potenciálně škodlivých aplikací. Je to jen ukázka jedné z mnoha technik, kterou vyhledávací gigant využívá pro zajištění maximální bezpečnosti svého operačního systému. Ruthven konstatuje, že tento bezpečnostní proces se v praxi osvědčil, neboť přispěl k objevu více než 25 000 aplikací, které obsahovaly malware Hummingbad, Ghost Push a Gooligan.
Zdroje: androidauthority.com, androidcentral.com, googleblog.com.
David Trlica
Komentáře (5)
Přidat komentář