Taula de continguts:
- Un nou gir cap a un enfocament antic
- Detecció d’anomalies
- Conteniment de programari maliciós
- Resultats de la prova
- Beneficis de PREC
- El repte
Els mercats d’aplicacions d’Android són una forma còmoda perquè els usuaris puguin obtenir aplicacions. Els mercats també són una forma convenient per als nois de lliurar programari maliciós. Els propietaris del mercat, segons el seu crèdit, tracten d’escombrar les aplicacions incorrectes mitjançant mesures de seguretat com Google Bouncer. Malauradament, la majoria (inclòs Bouncer) no estan a l’altura. Els dolents gairebé de seguida van esbrinar com es va saber quan Bouncer, un entorn d’emulació, estava provant el seu codi. En una entrevista anterior, Jon Oberheide, cofundador de Duo Security i la persona que va notificar a Google el problema, va explicar:
"Per fer efectiu Bouncer, ha de ser indistinguible del dispositiu mòbil d'un usuari real. En cas contrari, una aplicació maliciosa serà capaç de determinar que funciona amb Bouncer i que no executi la seva càrrega útil maliciosa."
Una altra manera que els dolents enganyen a Bouncer és mitjançant una bomba lògica. Al llarg de la seva història, les bombes lògiques han causat estralls en dispositius informàtics. En aquest cas, el codi de la bomba lògica malmet la tranquil·litat dels verificadors de programari maliciós, com la fallada de Bouncer en activar la càrrega útil fins que no s’instal·la l’aplicació maliciosa en un dispositiu mòbil real.
El que és bàsic és que els mercats d’aplicacions d’Android, a menys que siguin eficients per detectar càrregues útils de programari maliciós a les aplicacions, són, de fet, un important sistema de distribució de programari maliciós.
Un nou gir cap a un enfocament antic
L’equip de recerca de la Universitat de l’Estat de Carolina del Nord de Tsung-Hsuan Ho, Daniel Dean, Xiaohui Gu i William Enck poden trobar una solució. A la seva ponència PREC: Practical Root Exploit Containment per a dispositius Android, l’equip de recerca va introduir la seva versió d’un esquema de detecció d’anomalies. El PREC consta de dos components: un que funciona amb el detector de programari maliciós de l'aplicació i un que es descarrega amb l'aplicació al dispositiu mòbil.
El component de la botiga d'aplicacions és únic perquè utilitza el que els investigadors anomenen "monitoratge de trucades de sistema classificat". Aquest enfocament pot identificar dinàmicament les trucades del sistema de components d’alt risc com les biblioteques de tercers (les que no s’inclouen al sistema Android, però que vénen amb l’aplicació descarregada). La lògica aquí és que moltes aplicacions malicioses utilitzen les seves pròpies biblioteques.
Les trucades del sistema a partir del codi de tercers d’alt risc obtingut d’aquest seguiment, a més de les dades obtingudes del procés de detecció d’aplicacions, permeten a PREC crear un model de comportament normal. El model es penja al servei PREC, en comparació amb els models existents per obtenir precisió, despesa general i robustesa als atacs de mímica.
Aleshores, el model actualitzat ja es pot descarregar amb l’aplicació sempre que algú que sol·liciti l’aplicació sol·liciti l’aplicació.
Es considera que és la fase de seguiment. Una vegada que el model i l'aplicació PREC es descarreguen al dispositiu Android, PREC entra en fase d'aplicació: és a dir, detecció d'anomalies i contenció de programari maliciós.
Detecció d’anomalies
Una vegada que l’aplicació i el model PREC es configuren al dispositiu Android, PREC supervisa el codi de tercers, concretament les trucades del sistema. Si la seqüència de trucades del sistema és diferent de la supervisada a la botiga d'aplicacions, PREC determina la probabilitat que el comportament anormal sigui una explotació. Una vegada que PREC determina que l’activitat és maliciosa, passa al mode de contenció de programari maliciós.Conteniment de programari maliciós
Si s’entén correctament, la contenció de programari maliciós fa que el PREC sigui únic quan es tracta d’anti-malware. A causa de la naturalesa del sistema operatiu Android, les aplicacions anti-malware d'Android no poden eliminar programari maliciós ni posar-lo en quarantena, ja que totes les aplicacions resideixen en una caixa de sorra. Això significa que l’usuari ha d’eliminar manualment l’aplicació maliciosa localitzant primer el programari maliciós a la secció Aplicació del Gestor del sistema del dispositiu, després obrint la pàgina d’estadístiques de l’aplicació de programari maliciós i tocant “desinstal·lar-se”.
El que fa únic al PREC és el que els investigadors anomenen un "mecanisme de contenció de gra fi que es basa en retard". La idea general és alentir les trucades del sistema sospitoses mitjançant un conjunt de fils separats. Això obliga a l'explotació a acabar el temps. Es produeix un estat "Aplicació que no respon" en què finalment es tanca l'aplicació pel sistema operatiu Android.
PREC es podria programar per matar els fils de trucada del sistema, però podria trencar les operacions normals de l'aplicació si el detector d'anomalia comet un error. En lloc de arriscar-se, els investigadors insereixen un retard durant l'execució del fil.
"Els nostres experiments demostren que la majoria d'explotacions arrels es tornen ineficaços després que reduïm el fil natiu malintencionat fins a un cert punt. El plantejament basat en retard pot gestionar les falses alarmes amb més gràcia, ja que l'aplicació benigna no patirà la caiguda o la terminació a causa d'un fals transitori. alarmes ", explica el document.
Resultats de la prova
Per avaluar PREC, els investigadors van crear un prototip i el van provar contra 140 aplicacions (80 amb codi natiu i 60 sense codi natiu) - més 10 aplicacions (quatre aplicacions conegudes d’explotació root del projecte Malware Genome i sis aplicacions d’explotació root root reemballades) - que contenia programari maliciós. El programari maliciós incloïa versions de DroidDream, DroidKungFu, GingerMaster, RATC, ZimperLich i GingerBreak.
Els resultats:
- El PREC ha detectat i aturat totes les explotacions d'arrel provades
- Va augmentar zero falses alarmes a les aplicacions benignes sense codi natiu. (Els esquemes tradicionals augmenten un 67-92% de falses alarmes per aplicació.)
- El PREC va reduir la falsa taxa d’alarma de les aplicacions benignes amb codi natiu en més d’un ordre de magnitud respecte als algorismes tradicionals de detecció d’anomalies
Beneficis de PREC
A més de realitzar un bon funcionament a les proves i reenviar un mètode viable per contenir programari maliciós Android, PREC havia tingut números decretament millors quant a falsos positius i pèrdua de rendiment. Quant al rendiment, el document afirma que el "esquema de control classificat de PREC imposa una despesa inferior a l'1% i l'algoritme de detecció d'anomalies SOM imposa fins a un 2% de sobrecàrrega. En general, el PREC és lleuger, cosa que el fa pràctic per a dispositius mòbils".
Els sistemes actuals de detecció de programari maliciós utilitzats per les botigues d'aplicacions no són efectius. PREC proporciona un alt grau de precisió de detecció, un baix percentatge de falses alarmes i contenció de programari maliciós, cosa que actualment no existeix.
El repte
La clau perquè PREC funcioni és la compra dels mercats d'aplicacions. Es tracta només de crear una base de dades que descrigui el funcionament d'una aplicació amb normalitat. PREC és una eina que es pot utilitzar per aconseguir-ho. Aleshores, quan un usuari descarregui una aplicació desitjada, la informació de rendiment (perfil PREC) va amb l'aplicació i s'utilitzarà per basar el comportament de l'aplicació mentre s'instal·la al dispositiu Android.