Innholdsfortegnelse:
- En ny vri til en gammel tilnærming
- Anomali Deteksjon
- Innhold av skadelig programvare
- Testresultater
- Fordelene med PREC
- Utfordringen
Android-applikasjonsmarkeder er en praktisk måte for brukere å få apper. Markedene er også en praktisk måte for skurkene å levere skadelig programvare. Markedsplassseiere, til sin ære, prøver å snuse ut dårlige apper ved å bruke sikkerhetstiltak som Google Bouncer. Dessverre er ikke de fleste - inkludert bouncer - opp til oppgaven. Skurkene fant nesten umiddelbart ut hvordan de skulle fortelle når Bouncer, et emuleringsmiljø, testet koden sin. I et tidligere intervju forklarte Jon Oberheide, medgründer av Duo Security og personen som varslet Google om problemet:
"For å gjøre Bouncer effektiv, må den kunne skilles fra en ekte brukers mobile enhet. Ellers vil en ondsinnet applikasjon kunne bestemme at den kjører med Bouncer og ikke utføre den ondsinnede nyttelasten."
En annen måte skurkene lurer Bouncer er ved å bruke en logikkbombe. Gjennom historien har logiske bomber ødelagt datamaskiner. I dette tilfellet avvikler logikkbomkoden rolig sjekk for skadelig programvare, omtrent som Bouncers unnlatelse av å aktivere nyttelasten til den ondsinnede appen installeres på en faktisk mobil enhet.
Hovedpoenget er at Android-appmarkeder, med mindre de blir effektive til å oppdage nyttelast av skadelig programvare i apper, faktisk er et stort distribusjonssystem for skadelig programvare.
En ny vri til en gammel tilnærming
North Carolina State University-forskerteamet til Tsung-Hsuan Ho, Daniel Dean, Xiaohui Gu og William Enck kan ha funnet en løsning. I sin artikkel PREC: Practical Root Exploit Conception for Android Devices, introduserte forskerteamet sin versjon av en anomali deteksjonsplan. PREC består av to komponenter: en som fungerer med app store's malware-detektor, og en som lastes ned med applikasjonen til den mobile enheten.
App store-komponenten er unik ved at den bruker det forskerne kaller "overvåking av klassifisert systemanrop." Denne tilnærmingen kan dynamisk identifisere systemanrop fra høyrisikokomponenter som tredjepartsbiblioteker (de som ikke er inkludert i Android-systemet, men som følger med den nedlastede applikasjonen). Logikken her er at mange ondsinnede apper bruker sine egne biblioteker.
Systemanrop fra høyrisikokoden fra tredjeparter hentet fra denne overvåkningen, pluss data hentet fra deteksjonsprosessen for app-store, gjør at PREC kan lage en normal atferdsmodell. Modellen lastes opp til PREC-tjenesten, sammenlignet med eksisterende modeller for nøyaktighet, overhead og robusthet til mimikkeangrep.
Den oppdaterte modellen er da klar til å lastes ned med applikasjonen når appen blir bedt om av noen som besøker app store.
Det regnes som overvåkningsfasen. Når PREC-modellen og applikasjonen er lastet ned til Android-enheten, går PREC inn i håndhevingsstadiet - med andre ord, anomali-deteksjon og malware inneslutning.
Anomali Deteksjon
Når appen og PREC-modellen er koblet til Android-enheten, overvåker PREC tredjepartskoden, spesielt systemanrop. Hvis system-anropssekvensen er forskjellig fra den som overvåkes i app store, bestemmer PREC sannsynligheten for at den unormale oppførselen er en utnyttelse. Når PREC har bestemt at aktiviteten er ondsinnet, går den over i innholdsmodus for skadelig programvare.Innhold av skadelig programvare
Hvis den blir forstått riktig, inneholder inneslutning av skadelig programvare PREC unikt når det gjelder Android-antiprogramvare. På grunn av arten av Android-operativsystemet, klarer ikke Android-malware-applikasjoner å fjerne skadelig programvare eller plassere det i karantene fordi alle applikasjoner er bosatt i en sandkasse. Dette betyr at brukeren må fjerne den ondsinnede appen manuelt ved først å finne skadelig programvare i applikasjonsdelen av enhetens systembehandling, deretter åpne malware-appens statistikkside og trykke på "avinstaller."
Det som gjør PREC unik er det forskerne kaller en "forsinkelsesbasert finkornet inneslutningsmekanisme." Den generelle ideen er å bremse mistenkelige systemanrop ved å bruke et basseng med separate tråder. Dette tvinger utnyttelsen til timeout, noe som resulterer i en "Application Not Responding" -status der appen til slutt blir avsluttet av Android-operativsystemet.
PREC kan programmeres til å drepe systemoppringingstrådene, men det kan ødelegge normale applikasjonsoperasjoner hvis anomalidetektoren gjør en feil. I stedet for å risikere at forskerne setter inn en forsinkelse under utførelsen av tråden.
"Våre eksperimenter viser at de fleste rotutnyttelser blir ineffektive etter at vi har bremset den ondsinnede naturlige tråden til et bestemt punkt. Den forsinkelsesbaserte tilnærmingen kan håndtere de falske alarmer mer grasiøst siden den godartede applikasjonen ikke vil lide av krasj eller avslutning på grunn av forbigående falske alarmer, "forklarer papiret.
Testresultater
For å evaluere PREC bygde forskerne en prototype og testet den mot 140 apper (80 med innfødt kode og 60 uten innfødt kode) - pluss 10 apper (fire kjente root exploit-applikasjoner fra Malware Genome-prosjektet, og seks ompakkete root exploit-applikasjoner) - som inneholdt skadelig programvare. Den skadelige programvaren inkluderte versjoner av DroidDream, DroidKungFu, GingerMaster, RATC, ZimperLich og GingerBreak.
Resultatene:
- PREC oppdaget og stoppet alle testede rotutnyttelser.
- Det løftet null falske alarmer på de godartede applikasjonene uten innfødt kode. (Tradisjonelle ordninger øker falske alarmer 67-92% per app.)
- PREC reduserte den falske alarmfrekvensen for godartede applikasjoner med innfødt kode med mer enn en størrelsesorden over tradisjonelle anomali-deteksjonsalgoritmer.
Fordelene med PREC
I tillegg til å prestere godt i testene og videresende en brukbar metode for å inneholde Android-skadelig programvare, hadde PREC definitivt bedre tall når det gjaldt falske positiver og tap av ytelse. Når det gjelder ytelse, uttalte papiret at PRECs "klassifiserte overvåkningsplan pålegger mindre enn 1% overhead, og SOM-anomali-deteksjonsalgoritmen pålegger opp til 2% overhead. Generelt sett er PREC lett, noe som gjør det praktisk for smarttelefonenheter."
Gjeldende systemer for deteksjon av skadelig programvare som brukes av app-butikker er ineffektive. PREC gir en høy grad av deteksjonsnøyaktighet, en lav prosentandel av falske alarmer og inneslutning av skadelig programvare - noe som foreløpig ikke eksisterer.
Utfordringen
Nøkkelen til å få PREC til å fungere er innkjøp fra app-markedene. Det handler bare om å lage en database som beskriver hvordan en applikasjon presterer normalt. PREC er et verktøy som kan brukes til å oppnå det. Når en bruker laster ned et ønsket program, går ytelsesinformasjonen (PREC-profilen) sammen med appen, og blir brukt til å basere appens oppførsel mens den er installert på Android-enheten.
