HWSW

Elcsendesedő telefonok jelzik a veszélyes appokat

Három nagy malware, a Hummingbad, a Ghost Push és a Gooligan alkalmazásait is ezzel a módszerrel szűrte ki a Google - felhasználja azoknak a mobiltelefonoknak az adatait, amelyeken a Verify Apps nem vizsgálja az appok letöltését.

Érdekes statisztikai eljárással vizsgálja a Google az androidos kártevők viselkedését. Az új módszer a cég saját "víruskeresőjét", a potenciálisan veszélyes (potentially harmful apps, PHA) alkalmazásokat kereső Verify Apps eredményeit használja - pontosabban az eredmények hiányából igyekszik következtetéseket levonni.

A Verify Apps a Google-féle Android egyik alap szolgáltatása egy ideje, dolga a külső forrásból (más alkalmazásboltból vagy .apk-ból) telepített appok ellenőrzése és a veszélyes alkalmazások kiszűrése. A szolgáltatást azonban a fejlettebb rosszindulatú appok le is tudják kapcsolni - ezt a gyakorlatot használja új indikátorként a cég, erről számol be Megan Ruthven szoftvermérnök egy blogbejegyzésben [1].

A Verify Apps működése jellemzően két esetben áll le váratlanul: ha a telefon kikerül használatból (elavulás vagy meghibásodás miatt), vagy ha támadó app lekapcsolja a szolgáltatást. Ezt a DOI (dead or insecure) címkével jelöli a Google, a módszer pedig adja magát: azok az alkalmazások, amelyek telepítése után szokatlanul magas lesz a DOI-arány, veszélyesek lehetnek.

Ennek mérésére az Android biztonságért felelős csapata kifejlesztett egy DOI-pontszámot, amely az egyes alkalmazások esetében számítja ki a "megtartási arány" (retention rate) alapján a veszélyesség szintjét. Amennyiben egy alkalmazás több szórásnyival alacsonyabb arányt generál, mint az átlagos app, akkor veszélyesnek minősül és a cég biztonsági mérnökei veszik szemügyre.

Az átlagos szórásérték számítására rendszerint a Z-pontszám szolgál, amelyet a képen látható képlettel lehet kiszámítani. Az egyenletben az N azoknak készülékeknek a számát jelöli, amelyek letöltötték az appot; az x azoknak a megtartott készülékeknek száma, amelyek letöltötték az appot; a p-érték pedig annak a valószínűsége, hogy valamely app letöltése után a Verify Apps működése folyamatos marad.

Ha a Z-pontszám sokkal kisebb mint -3,7 akkor a mutató jelzi, hogy az alkalmazás szignifikánsan alacsonyabb megtartási aránnyal rendelkezik. Amennyiben ez az arány alacsony, viszont sok felhasználó tölti az alkalmazást, az jelzésértékű a kutatók számára - ekkor kezdik el vizsgálni a többi szempontból a biztonsági feltételek teljesülését. Ha bebizonyosodik, hogy az alkalmazás PHA, akkor a Verify Apps segítségével a fejlesztők eltávolítják a készülékekről, és nem engedik a további letöltését.

Ilyen formában szűrte ki a Google három különböző malware-család tagjait, a DOI-pontszám több mint 25 ezer alkalmazást jelölt meg ezekkel kapcsolatban. Mindhárom malware jellemzőit a HWSW részletesen is bemutatta a tavalyi év során. A HummingBad [2] a kéretlen reklámok mellett olyan rootkitet tartalmazott, amely sikeres település esetén teljeskörű hozzáférést biztosított a mobileszközökhöz és rootolta is azokat. A Ghost Push [3] letöltés után igyekezett a háttérben további alkalmazásokat telepíteni a felhasználó mobiljára egészen agresszív viselkedéssel. A Googligan [4] pedig a régi Android verziók támadásával több mint egymillió Google-fiók belépési adatait szerezte meg.

Mindhárom említett malware-rel kapcsolatban felhívtuk a figyelmet az Android ökoszisztéma biztonságának problémás helyzetére. A Play Store automatizált jóváhagyási folyamata néha átengedi az adatgyűjtő alkalmazásokat és a malware-eket, a biztonsági réseket befoltozó frissítések pedig ritkán és kevés modellen jelennek meg a gyártótól és a mobilszolgáltatótól függően - ahogy utánajártunk [5], a felhasználóknak sem sok esélyük van, ha panasszal szeretnének élni a kimaradó androidos biztonsági frissítések miatt.

2016-os biztonsági problémák mérlege

xJelenleg összesen 26 potenciális biztonsági problémára hívja fel a figyelmet a Google az App Security Improvement (ASI) program keretében a cég blogbejegyzése szerint [6]. Tavaly áprilisban először arról adott számot a cég, hogy 100 ezer alkalmazás biztonsági hibáit sikerült foltozni a megoldáson keresztül, ezt követően még további 11 hibára figyelmeztette az ASI a fejlesztőket, és látta el őket forrásokkal, illetve útmutatóval ezekkel kapcsolatban.

Egy új aloldalon [7] a Google mind a 26 biztonsági hibát és a hozzájuk kötődő információkat mutatja be. A figyelmeztetések mellett szerepel a felmerülési dátumok és adott esetben a javítás határideje, illetve a kapcsolódó támogató oldal hivatkozásai. A Google további biztonsági leírásokkal [8] és a teendőkhöz kapcsolódó ellenőrzőlistával [9] igyekszik kikényszeríteni a biztonságosabb appok fejlesztését.

A cikkben hivatkozott linkek:
[1] https://blog.google/topics/connected-workspaces/silence-speaks-louder-words-when-finding-malware/
[2] https://www.hwsw.hu/hirek/55837/android-malware-hummingbad-root-flash-keyboard-play-store.html
[3] https://www.hwsw.hu/hirek/55501/google-android-biztonsagi-jelentes-2015-ghost-push.html
[4] https://www.hwsw.hu/hirek/56499/malware-andorid-gooligan-biztonsag-google.html
[5] https://www.hwsw.hu/hirek/56298/android-biztonsag-fogyasztovedelem-okostelefon-frissites.html
[6] https://blog.google/topics/connected-workspaces/app-security-improvements-looking-back-2016/
[7] https://developer.android.com/google/play/asi.html
[8] https://developer.android.com/training/best-security.html
[9] https://developer.android.com/distribute/essentials/quality/core.html#sc
A cikk adatai:
//www.hwsw.hu/hirek/56716/android-google-biztonsag-malware-doi-verify-apps.html
Író: Habók Lilla ()
Dátum: 2017. január 23. 10:30
Rovat: vállalati it