Специалисты по безопасности Android поделились в своём блоге особенностями работы Google Play Protect — системы защиты мобильных устройств с этой операционной системой.
Google Play Protect оберегает телефоны пользователей ещё до установки приложения на смартфон или планшет. Перед тем, как приложение попадёт в Play Market и станет доступным для скачивания на более чем 2 миллиарда мобильных устройств, автоматические сканеры кода и эксперты по безопасности проверяют его на способность нанести вред пользователю. Только в случае успешной проверки, приложение допускается до распространения в Google Play. Благодаря таким превентивным действиям, число PHA (Potentially Harmful Apps) в Плей Маркет в 9 раз ниже, чем в других Android-сторах.
После установки приложения Google Play Protect продолжает сканировать уже установленные приложения на предмет обнаружения проблем с безопасностью. По заверениям инженеров Android, в день Google Play Protect пропускает через себя более 50 миллиардов приложений. И, если защитные алгоритмы обнаружат что-то подозрительное, то пользователь будет либо уведомлён о нестандартном поведении приложения, либо приложение будет удалено с мобильного устройства.
Благодаря машинному обучению специалистам Android по кибер-безопасности удаётся масштабировать процесс поиска и обнаружения новых типов и разновидностей угроз. Весомый плюс применения этой разновидности искусственного интеллекта — скорость работы. Применение дополнительных мощностей позволяет без подключения специалистов значительно увеличить количество и качество проверки сканируемых приложений.
Анатомия Google Play Protection
Сервис Google Play Protection состоит из двух больших частей: Данные и Модели машинного обучения.
Данные
Google Play Protection использует Big Data двух разных типов: анонимные данные, полученные в результате анализа работы приложения и анонимные данные об оценке пользователями приложения.
Google Play Protection собирает данные обо всех приложениях, которые можно найти в Сети, не ограничиваясь выборкой полученных данных из Плей Маркета. С помощью глубокого анализа приложения и тестирования его функций на статическом и динамическом уровнях, программе удаётся выявить типичные паттерны, характерные для мошеннических приложений, даже если программный код был обфусцирован. Полученные данные используются для настройки и обучения искусственного интеллекта. Таким образом, скомпрометировавшее себя ранее приложение при попадании на модерацию в Play Market будет мгновенно распознано алгоритмами безопасности и не допущено для скачивания пользователями.
Помимо проверки кода, команда безопасности Android также собирает данные из Google Play Market, позволяющие параметрически оценить мнение пользователей о приложении. В этот набор данных входят: оценка в сторе, комментарии, количество инсталлов, количество удалений etc. Дополнительно собирается информация о разработчике, истории опубликованных им ранее приложений, используемых сертификатах и т.д. Полученные данные служат основанием для дальнейшей оценки опасности приложения для пользователей.
Модели машинного обучения
Основа основ всей сегодняшней кибербезопасности в мире — машинное обучение. Специалисты по безопасности Android «скармливают» алгоритмам программы паттерны подозрительного поведения скомпрометированных приложений, чтобы в дальнейшем искусственный интеллект мог сам распознать угрозу даже в виде видоизменившегося или замаскированного кода. Среди основных «подозрительных» паттернов: несанкционированная запись и передача личных данных пользователя, получение доступа к управлению другими установленными приложениями, самостоятельная загрузка файлов без уведомления пользователя, намеренное перенаправление на фишинговые сайты, отключение настроек безопасности etc.
Deep Learning и Логистическая Регрессия — два основных инструмента для определения потенциально опасных приложений для пользователя. Помимо этой пары инструментов команда Google Play Protection активно экспериментирует с нейронными сетями, используя различные комбинации условий и сигналов для более точного выявления угроз со стороны запущенного на мобильном устройстве приложения.
Комплексный подход вкупе с новаторскими методиками помогает системам безопасности Android стать грозным бастионом защиты мобильных пользователей от кибер-преступников — в 2017 год Google Play Protection успешно определил 60.3% вредоносных мошеннических приложений, для выявления которых потребовалось проверить более 2 миллиардов смартфонов и планшетов.