Rumah Keamanan Apakah ini obat potensial untuk aplikasi android berbahaya?

Apakah ini obat potensial untuk aplikasi android berbahaya?

Daftar Isi:

Anonim

Pasar aplikasi Android adalah cara yang nyaman bagi pengguna untuk mendapatkan aplikasi. Pasar juga merupakan cara yang mudah bagi orang jahat untuk mengirimkan malware. Pemilik Marketplace, untuk kredit mereka, mencoba mengendus aplikasi yang buruk menggunakan langkah-langkah keamanan seperti Google Bouncer. Sedihnya, sebagian besar - termasuk Bouncer - tidak memenuhi tugas. Orang-orang jahat segera menemukan cara untuk mengetahui kapan Bouncer, sebuah lingkungan persaingan, sedang menguji kode mereka. Dalam wawancara sebelumnya, Jon Oberheide, salah satu pendiri Duo Security dan orang yang memberi tahu Google tentang masalah tersebut, menjelaskan:


"Untuk membuat Bouncer efektif, itu harus dapat dibedakan dari perangkat seluler pengguna nyata. Jika tidak, aplikasi jahat akan dapat menentukan bahwa Bouncer berjalan dengan Bouncer dan tidak mengeksekusi muatan jahatnya."


Cara lain orang jahat membodohi Bouncer adalah dengan menggunakan bom logika. Sepanjang sejarah mereka, bom logika telah mendatangkan malapetaka pada perangkat komputasi. Dalam kasus ini, kode bom logika diam-diam menggagalkan pemeriksa malware, sama seperti kegagalan Bouncer untuk mengaktifkan muatan sampai aplikasi berbahaya dipasang di perangkat seluler yang sebenarnya.


Intinya adalah bahwa pasar aplikasi Android, kecuali jika mereka menjadi efisien dalam mendeteksi muatan malware dalam aplikasi, pada kenyataannya, merupakan sistem distribusi utama untuk malware.

Sentuhan Baru untuk Pendekatan Lama

Tim peneliti Universitas Negeri North Carolina dari Tsung-Hsuan Ho, Daniel Dean, Xiaohui Gu, dan William Enck mungkin telah menemukan solusi. Dalam makalah mereka PREC: Praktis Eksploitasi Root Exploit untuk Perangkat Android, tim peneliti memperkenalkan versi mereka dari skema deteksi anomali. PREC terdiri dari dua komponen: satu yang berfungsi dengan detektor malware app store, dan satu yang diunduh bersama aplikasi ke perangkat seluler.


Komponen app store unik karena mempekerjakan apa yang para peneliti sebut "pemantauan panggilan sistem rahasia." Pendekatan ini secara dinamis dapat mengidentifikasi panggilan sistem dari komponen berisiko tinggi seperti perpustakaan pihak ketiga (yang tidak termasuk dalam sistem Android, tetapi yang datang dengan aplikasi yang diunduh). Logikanya di sini adalah bahwa banyak aplikasi jahat menggunakan perpustakaan mereka sendiri.


Panggilan sistem dari kode pihak ketiga berisiko tinggi yang diperoleh dari pemantauan ini, ditambah data yang diperoleh dari proses deteksi app-store, memungkinkan PREC untuk membuat model perilaku normal. Model diunggah ke layanan PREC, dibandingkan dengan model yang ada untuk akurasi, overhead, dan ketahanan terhadap serangan mimikri.


Model yang diperbarui kemudian siap untuk diunduh dengan aplikasi kapan saja aplikasi tersebut diminta oleh seseorang yang mengunjungi app store.


Itu dianggap sebagai fase pemantauan. Setelah model dan aplikasi PREC diunduh ke perangkat Android, PREC memasuki tahap penegakan - dengan kata lain, deteksi anomali dan penahanan malware.

Deteksi Anomali

Setelah model aplikasi dan PREC disimpan di perangkat Android, PREC memantau kode pihak ketiga, khususnya panggilan sistem. Jika urutan panggilan sistem berbeda dari yang dipantau di app store, PREC menentukan kemungkinan bahwa perilaku abnormal adalah eksploit. Setelah PREC menentukan bahwa aktivitas tersebut berbahaya, ia beralih ke mode penahanan malware.

Penahanan Malware

Jika dipahami dengan benar, penahanan malware membuat PREC unik ketika datang ke Android anti-malware. Karena sifat sistem operasi Android, aplikasi anti-malware Android tidak dapat menghapus malware atau menempatkannya di karantina karena setiap aplikasi berada di kotak pasir. Ini berarti bahwa pengguna harus secara manual menghapus aplikasi jahat dengan terlebih dahulu menemukan malware di bagian Aplikasi System Manager perangkat, kemudian membuka halaman statistik aplikasi malware, dan mengetuk "uninstall".


Apa yang membuat PREC unik adalah apa yang para peneliti sebut sebagai "mekanisme penahanan berbutir halus berdasarkan penundaan." Gagasan umum adalah memperlambat panggilan sistem yang mencurigakan menggunakan kumpulan utas yang terpisah. Ini memaksa eksploit untuk time out., Menghasilkan status "Aplikasi Tidak Menanggapi" di mana aplikasi pada akhirnya ditutup oleh sistem operasi Android.


PREC dapat diprogram untuk membunuh utas panggilan sistem, tetapi mungkin memutus operasi aplikasi normal jika detektor anomali membuat kesalahan. Alih-alih mengambil risiko itu, para peneliti memasukkan penundaan selama eksekusi utas.


"Eksperimen kami menunjukkan bahwa sebagian besar eksploitasi root menjadi tidak efektif setelah kami memperlambat utas asli berbahaya ke titik tertentu. Pendekatan berbasis penundaan dapat menangani alarm palsu dengan lebih anggun karena aplikasi jinak tidak akan mengalami kerusakan atau penghentian karena kesalahan sementara alarm, "makalah itu menjelaskan.

Hasil tes

Untuk mengevaluasi PREC, para peneliti membangun prototipe dan mengujinya terhadap 140 aplikasi (80 dengan kode asli dan 60 tanpa kode asli) - plus 10 aplikasi (empat aplikasi eksploit root yang diketahui dari proyek Malware Genome, dan enam aplikasi eksploit root yang dipaket ulang) - yang mengandung malware. Malware termasuk versi DroidDream, DroidKungFu, GingerMaster, RATC, ZimperLich, dan GingerBreak.


Hasil:

  • PREC berhasil mendeteksi dan menghentikan semua eksploitasi root yang diuji.
  • Itu nol alarm palsu pada aplikasi jinak tanpa kode asli. (Skema tradisional meningkatkan 67-92% alarm palsu per-aplikasi.)
  • PREC mengurangi laju alarm palsu pada aplikasi jinak dengan kode asli lebih dari satu urutan besarnya di atas algoritma deteksi anomali tradisional
Hasil uji terperinci dapat ditemukan dalam makalah penelitian PREC.

Manfaat PREC

Selain berkinerja baik dalam pengujian dan meneruskan metode yang bisa diterapkan untuk mengandung malware Android, PREC memiliki angka yang jelas lebih baik dalam hal positif palsu dan kehilangan kinerja. Mengenai kinerja, makalah tersebut menyatakan bahwa "skema pemantauan rahasia PREC memberlakukan kurang dari 1% overhead, dan algoritma pendeteksian anomali SOM membebankan hingga 2% overhead. Secara keseluruhan, PREC ringan, yang membuatnya praktis untuk perangkat smartphone."


Sistem pendeteksi malware yang saat ini digunakan oleh toko aplikasi tidak efektif. PREC menyediakan tingkat akurasi deteksi yang tinggi, persentase alarm palsu yang rendah, dan penahanan malware - sesuatu yang saat ini tidak ada.

Tantangan

Kunci untuk membuat PREC bekerja adalah dukungan dari pasar aplikasi. Ini hanya masalah membuat database yang menggambarkan kinerja aplikasi secara normal. PREC adalah salah satu alat yang dapat digunakan untuk mencapai itu. Kemudian, ketika pengguna mengunduh aplikasi yang diinginkan, informasi kinerja (profil PREC) disertakan bersama aplikasi, dan akan digunakan untuk membuat garis dasar perilaku aplikasi saat aplikasi itu diinstal pada perangkat Android.

Apakah ini obat potensial untuk aplikasi android berbahaya?

Melawan obat palsu dengan blockchain

Melawan obat palsu dengan blockchain

Buku besar publik Blockchain bisa menjadi solusi untuk masalah obat palsu dengan melacak semua obat di seluruh rantai pasokan lengkap.

Iot dan kepatuhan obat: pendekatan yang berbeda untuk solusi yang terhubung

Iot dan kepatuhan obat: pendekatan yang berbeda untuk solusi yang terhubung

Pelajari bagaimana inovasi IoT menyediakan cara baru untuk melacak dan menumbuhkan kepatuhan resep.

Menjangkau pelanggan potensial dengan kertas putih

Menjangkau pelanggan potensial dengan kertas putih

Dibuat dengan benar, buku putih dapat menjadi alat yang efektif dalam strategi pemasaran konten apa pun.

Pilihan Editor

Pilihan Editor

Pilihan Editor

Pilihan Editor

Pilihan Editor

Pilihan Editor

Kategori populer

© Copyright id.theastrologypage.com, 2024 November | Tentang situs | Kontak | Rahasia pribadi.