جدول المحتويات:
تعد أسواق تطبيقات Android طريقة مناسبة للمستخدمين للحصول على التطبيقات. الأسواق هي أيضا وسيلة مريحة للأشرار لتقديم البرامج الضارة. يحاول مالكو Marketplace ، وفقًا لائتمانهم ، استنباط التطبيقات السيئة باستخدام تدابير الأمان مثل Google Bouncer. للأسف ، معظم - بما في ذلك Bouncer - ليست على مستوى المهمة. اكتشف الأشرار على الفور تقريبًا كيفية معرفة وقت اختبار Bouncer ، وهي بيئة مضاهاة ، الكود. في مقابلة سابقة ، أوضح جون أوبرهايد ، المؤسس المشارك لـ Duo Security والشخص الذي أبلغ Google بالمشكلة:
"من أجل جعل Bouncer فعالًا ، يجب أن يكون تمييزه عن الجهاز المحمول الخاص بالمستخدم الحقيقي. وإلا ، فسيتمكن التطبيق الضار من تحديد أنه يعمل مع Bouncer ولن يقوم بتنفيذ حمولته الضارة."
طريقة أخرى الأشرار يخدعون Bouncer باستخدام قنبلة منطقية. طوال تاريخهم ، تسببت القنابل المنطقية في إفساد أجهزة الحوسبة. في هذه الحالة ، يحبط رمز القنبلة المنطقية بهدوء أدوات التحكم في البرامج الضارة ، مثل فشل Bouncer في تنشيط الحمولة حتى يتم تثبيت التطبيق الضار على جهاز محمول فعلي.
خلاصة القول هي أن أسواق تطبيقات Android ، ما لم تكن فعالة في اكتشاف حمولات البرامج الضارة في التطبيقات ، هي في الواقع نظام توزيع رئيسي للبرامج الضارة.
تطور جديد لنهج قديم
فريق البحث في جامعة ولاية كارولينا الشمالية التابع لـ Tsung-Hsuan Ho و Daniel Dean و Xiaohui Gu و William Enck قد وجدوا حلاً. في بحثهم PREC: العملي لاحتواء استغلال الجذر لأجهزة Android ، قدم فريق البحث نسختهم من نظام الكشف عن الحالات الشاذة. يتكون PREC من مكونين: أحدهما يعمل مع كاشف البرامج الضارة في متجر التطبيقات ، والآخر الذي يتم تنزيله مع التطبيق على الجهاز المحمول.
مكون متجر التطبيقات فريد من نوعه لأنه يستخدم ما يسميه الباحثون "مراقبة مكالمات النظام المصنفة". يمكن لهذا النهج تحديد مكالمات النظام ديناميكيًا من المكونات عالية الخطورة مثل مكتبات الجهات الخارجية (تلك غير المضمنة في نظام Android ، والتي تأتي مع التطبيق الذي تم تنزيله). المنطق هنا هو أن العديد من التطبيقات الضارة تستخدم مكتباتها الخاصة.
مكالمات النظام من كود الطرف الثالث عالي المخاطر الذي تم الحصول عليه من هذا الرصد ، بالإضافة إلى البيانات التي تم الحصول عليها من عملية الكشف عن متجر التطبيقات ، تسمح لـ PREC بإنشاء نموذج سلوك عادي. تم تحميل النموذج على خدمة PREC ، مقارنةً بالموديلات الحالية للتأكد من دقتها وحملها وقوتها لتقليد الهجمات.
يعد النموذج المحدث جاهزًا للتنزيل مع التطبيق في أي وقت يطلب فيه شخص ما زيارة التطبيق.
التي تعتبر مرحلة الرصد. بمجرد تنزيل نموذج PREC والتطبيق على جهاز Android ، يدخل PREC مرحلة التنفيذ - وبمعنى آخر ، اكتشاف الحالات الشاذة واحتواء البرامج الضارة.
إكتشاف عيب خلقي
بمجرد تثبيت التطبيق ونموذج PREC على جهاز Android ، يراقب PREC رمز الطرف الثالث ، وتحديداً مكالمات النظام. إذا كان تسلسل استدعاء النظام مختلفًا عن التسلسل الذي يتم مراقبته في متجر التطبيقات ، فإن PREC يحدد احتمال أن يكون السلوك غير الطبيعي استغلالًا. بمجرد تحديد PREC أن النشاط ضار ، ينتقل إلى وضع احتواء البرامج الضارة.احتواء البرامج الضارة
إذا تم فهم احتواء البرامج الضارة بشكل صحيح ، فإن PREC فريدة من نوعها عندما يتعلق الأمر بمكافحة البرامج الضارة التي تعمل بنظام Android. نظرًا لطبيعة نظام التشغيل Android ، فإن تطبيقات مكافحة البرامج الضارة التي تعمل بنظام Android غير قادرة على إزالة البرامج الضارة أو وضعها في الحجر الصحي لأن كل تطبيق موجود في صندوق رمل. هذا يعني أنه يجب على المستخدم إزالة التطبيق الضار يدويًا عن طريق تحديد موقع البرامج الضارة أولاً في قسم التطبيق في System Manager بالجهاز ، ثم فتح صفحة إحصائيات تطبيق البرامج الضارة ، والضغط على "إلغاء التثبيت".
ما يجعل PREC فريدة من نوعها هو ما يسميه الباحثون "آلية احتواء غرامة الحبيبات المستندة إلى تأخير." الفكرة العامة هي إبطاء استدعاءات النظام المشبوهة باستخدام مجموعة من سلاسل الرسائل المنفصلة. هذا يفرض الاستغلال على مهلة. ، مما يؤدي إلى حالة "عدم استجابة التطبيق" حيث يتم إيقاف تشغيل التطبيق في النهاية بواسطة نظام التشغيل Android.
يمكن برمجة PREC لقتل سلاسل عمليات استدعاء النظام ، لكنه قد يكسر عمليات التطبيق العادية إذا أخطأ كاشف الشذوذ. بدلاً من المخاطرة ، يقوم الباحثون بإدخال تأخير أثناء تنفيذ الخيط.
"تظهر تجاربنا أن معظم عمليات استغلال الجذر تصبح غير فعالة بعد أن نبطئ الخيط الأصلي الخبيث إلى حد ما. يمكن للنهج القائم على التأخير التعامل مع الإنذارات الخاطئة بشكل أكثر رشاقة لأن التطبيق الحميد لن يعاني من الانهيار أو الإنهاء بسبب خطأ عابر إنذارات ، "تشرح الورقة.
نتائج الإختبار
لتقييم PREC ، صمم الباحثون نموذجًا أوليًا واختبروه مقابل 140 تطبيقًا (80 مع الكود الأصلي و 60 بدون الكود الأصلي) - بالإضافة إلى 10 تطبيقات (أربعة تطبيقات معروفة لاستغلال الجذر من مشروع Malware Genome ، وستة تطبيقات معاد استغلالها الجذر) - أن الواردة البرمجيات الخبيثة. وشملت البرامج الضارة إصدارات DroidDream و DroidKungFu و GingerMaster و RATC و ZimperLich و GingerBreak.
نتائج:
- اكتشف PREC بنجاح وأوقف كل مآثر الجذر المختبرة.
- رفعت صفر إنذارات خاطئة على التطبيقات الحميدة دون رمز الأصلي. (تثير المخططات التقليدية 67-92٪ لكل إنذارات خاطئة لكل تطبيق.)
- خفضت PREC معدل الإنذار الخاطئ على التطبيقات الحميدة مع الكود الأصلي بأكثر من أمر واحد من حيث الحجم على خوارزميات الكشف عن الحالات الشاذة التقليدية
فوائد PREC
إلى جانب الأداء الجيد في الاختبارات وإعادة توجيه طريقة قابلة للتطبيق لاحتواء البرامج الضارة التي تعمل بنظام Android ، كان لدى PREC عددًا أفضل من النتائج الإيجابية عندما يتعلق الأمر بالإيجابيات الخاطئة وفقدان الأداء. فيما يتعلق بالأداء ، ذكرت الورقة أن "مخطط المراقبة المصنف من PREC يفرض أقل من 1٪ من النفقات العامة ، وخوارزمية الكشف عن الحالات الشاذة من SOM تفرض ما يصل إلى 2٪ من النفقات العامة. وعمومًا ، PREC خفيفة الوزن ، مما يجعلها عملية بالنسبة لأجهزة الهواتف الذكية".
أنظمة الكشف عن البرامج الضارة الحالية التي تستخدمها متاجر التطبيقات غير فعالة. يوفر PREC درجة عالية من دقة الكشف ، ونسبة منخفضة من الإنذارات الخاطئة ، واحتواء البرامج الضارة - وهو شيء غير موجود حاليًا.
التحدي
مفتاح الحصول على PREC للعمل هو الاشتراك في أسواق التطبيقات. إنها مجرد مسألة إنشاء قاعدة بيانات تصف كيفية أداء التطبيق بشكل طبيعي. PREC هي إحدى الأدوات التي يمكن استخدامها لتحقيق ذلك. بعد ذلك ، عندما يقوم المستخدم بتنزيل تطبيق مرغوب فيه ، فإن معلومات الأداء (ملف تعريف PREC) تذهب مع التطبيق ، وسيتم استخدامها لتحديد خط أساس سلوك التطبيق أثناء تثبيته على جهاز Android.
