Víte, jak Google odhaluje škodlivé aplikace? Nahlédněte pod pokličku!
- Zprávičky
- Karel Kilián
- 22.12.2023
- 5
Google na svém oficiálním blogu pro vývojáře nastínil proces vyhledávání škodlivých aplikací. V příspěvku softwarová inženýrka Megan Ruthven pojednává o bezpečnostní funkci ověřování aplikací, sloužící k odhalení malwaru nainstalovaného zařízení. Jak tedy Google odhaluje škodlivé aplikace?
Ověřování aplikací („Verify Apps“) je bezpečnostní funkce, zavedená v Androidu 6.0 Marshmallow, která pravidelně kontroluje aplikace stažené z Obchodu Play. Během tohoto procesu se kontroluje, zdali jsou všechny programy bezpečné. V případě, že je nalezen škodlivý program, je uživatel varován a je mu nabídnuta odinstalace.
Megan Ruthven se zaměřila na situace, kdy zařízení přestane s touto funkcí komunikovat. To se děje v případech, kdy je zařízení vypnuté, nebo pokud se v systému děje něco nežádoucího. Ve druhém případě se to s velkou pravděpodobností děje proto, že je v zařízení aplikace, která se odmítá identifikovat proti databázi ověřování aplikací. Za takových okolností je zařízení považováno za „mrtvé nebo nebezpečné“ (Dead or Insecure – DOI). Aplikace, po jejíž instalaci dochází v „dostatečně vysokém procentu“ k tomuto stavu, je poté považována za nebezpečnou. Naopak jestliže kontrola pomocí Verify Apps na zařízení funguje, lze poslední nainstalovanou aplikaci považovat za bezpečnou.
Google odhaluje škodlivé aplikace pomocí „DOI skóre“
K vyhodnocení úrovně nebezpečí je aplikacím přidělováno „DOI skóre“, vycházející z počtu zařízení, na která byla aplikace instalována v průběhu jednoho dne. Ve vzorci se počítá například s tím, v kolika případech nedošlo po instalaci programu k přerušení ověřování aplikací. Celý výpočet můžete vidět na následujícím obrázku.
Vysvětleme si jednotlivé proměnné:
- N = počet zařízení, která stáhla aplikace.
- x = počet zařízení, která stáhla aplikaci a funkce Verify Apps na nich funguje.
- p = Pravděpodobnost, že zařízení stáhne aplikaci, která je v pořádku.
- Z = DOI skóre
Pokud DOI skóre klesne pod hodnotu -3,7, znamená to, že významný počet telefonů a/nebo tabletů pozastavil kontrolu po instalaci podezřelé aplikace. Google pak kombinuje toto skóre s blíže nespecifikovanými „jinými informacemi“, na základě kterých získá informaci o tom, zda je program skutečně škodlivý. Poté přijme opatření, jako je například odstranění aplikace, nebo zabránění dalším instalacím. V případě, že škodlivý program využíval nějaké bezpečnostní díry, je tato informace předána vývojářům, kteří vydají záplatu.
Samozřejmě nejde o jedinou metodu vyhledávání potenciálně škodlivých aplikací. Je to jen ukázka jedné z mnoha technik, kterou vyhledávací gigant využívá pro zajištění maximální bezpečnosti svého operačního systému. Ruthven konstatuje, že tento bezpečnostní proces se v praxi osvědčil, neboť přispěl k objevu více než 25 000 aplikací, které obsahovaly malware Hummingbad, Ghost Push a Gooligan.
Zdroje: androidauthority.com, androidcentral.com, googleblog.com.
S překonanou čtyřicítkou je s náskokem nejstarším členem redakce :-). Před několika lety hypoteticky vymyslel operační systém svých snů, aby následně zjistil, že přesně na… více o autorovi
Komentáře (5)
Přidat komentář