Найти тему
Мир знаний
35 подписчиков

Потенциальная утечка компонентов в приложениях для Android

326
3 мин

Согласно последним статистическим данным компании McAfee, общее число образцов вредоносного ПО для мобильных устройств превысило пять миллионов, увеличившись за год на 112%.

  • Действительно, мобильные устройства являются популярной мишенью среди злоумышленников, а рынки приложений по-прежнему используются разработчиками вредоносных программ для распространения своих вредоносных приложений.

Следовательно, охрана таких рынков стала существенной проблемой как для конечных пользователей, так и для сопровождающих их лиц.

Машинные методы обучения, позволяющие просеять большой набор приложений для обнаружения вредоносных программ, представляются перспективными для обнаружения крупномасштабных вредоносных программ и, в конечном счете, для предотвращения их проникновения на рынок. Современные подходы к машинному обучению для обнаружения вредоносных программ Android различаются в основном наборами функций, которые используются для обучения классификаторов.

  • Например, Canfora et al полагаются на системные вызовы и разрешения, а Gascon et al используют свойства графика вызовов. Другими примерами повторяющихся наборов функций являются свойства кода Java, информация о фильтрации намерений, строки и так далее.
https://pixabay.com/ru/illustrations/%D0%BF%D1%80%D0%B8%D0%BB%D0%BE%D0%B6%D0%B5%D0%BD%D0%B8%D1%8F-%D1%81%D0%BE%D1%86%D0%B8%D0%B0%D0%BB%D1%8C%D0%BD%D1%8B%D0%B5-%D0%BC%D0%B5%D0%B4%D0%B8%D0%B0-%D1%81%D0%B5%D1%82%D0%B8-426559/
https://pixabay.com/ru/illustrations/%D0%BF%D1%80%D0%B8%D0%BB%D0%BE%D0%B6%D0%B5%D0%BD%D0%B8%D1%8F-%D1%81%D0%BE%D1%86%D0%B8%D0%B0%D0%BB%D1%8C%D0%BD%D1%8B%D0%B5-%D0%BC%D0%B5%D0%B4%D0%B8%D0%B0-%D1%81%D0%B5%D1%82%D0%B8-426559/
  • Любой компонент может потенциально участвовать в утечке, например, путем извлечения конфиденциальной информации, отправки этой информации или просто выполнения роли связующего звена между двумя другими компонентами.

Таким образом, при выполнении статического анализа на одном компоненте могут быть определены некоторые пути потока данных, протекающие через границу компонента. PCL сама по себе не является утечкой, но может использоваться другими компонентами и в конечном счете способствовать утечке личных данных.

Базы данных

  • Для проведения экспериментов было собран набор данных по приложениям для Android с рынков Android, включая официальный магазин GooglePlay.

Для каждого приложения также получили результаты анализа антивирусных продуктов, размещенных в VirusTotal. Затем, основываясь на результатах VirusTotal, строим два несвязанных множества: Один набор, отмеченный M (для вредоносных программ), содержащий только вредоносные приложения, и G (для Goodware), содержащий только доброкачественные приложения. Каждый набор данных содержит 5000 приложений, которые оцениваются с помощью PCLeaks.

https://pixabay.com/ru/photos/%D0%B4%D0%B0%D0%BD%D0%BD%D1%8B%D0%B5-%D0%BA%D0%BE%D0%BC%D0%BF%D1%8C%D1%8E%D1%82%D0%B5%D1%80-%D0%B8%D0%BD%D1%82%D0%B5%D1%80%D0%BD%D0%B5%D1%82-%D0%BE%D0%BD%D0%BB%D0%B0%D0%B9%D0%BD-2899899/
https://pixabay.com/ru/photos/%D0%B4%D0%B0%D0%BD%D0%BD%D1%8B%D0%B5-%D0%BA%D0%BE%D0%BC%D0%BF%D1%8C%D1%8E%D1%82%D0%B5%D1%80-%D0%B8%D0%BD%D1%82%D0%B5%D1%80%D0%BD%D0%B5%D1%82-%D0%BE%D0%BD%D0%BB%D0%B0%D0%B9%D0%BD-2899899/
  • Все наши эксперименты проводятся на пластинчатой форме UL HPC. Для каждого приложения для Android было выделено одно ядро для PCLeaks для его анализа. Куча Java установлена на 8 гигабайт, а время ожидания - на 12 часов.

Напомним, что все начинается с двух наборов данных, каждый из которых содержит 5000 приложений для определенного исследования. Поскольку некоторые из них выходят из строя или не содержат PCL, результат извлечения PCL содержит 2 822 вируса и 3 785 вредоносных программ, каждый из которых содержит по крайней мере одну PCL.

  • Эмпирическое исследование дает возможность получить количественные и качественные знания.

Li et al представляет эмпирическое исследование того, как Намерение используется в приложениях для Android, показывающее, что Намерение широко используется в приложениях для Android. Ruiz et al показывают распространенность множества рекламных библиотек в приложениях для Android.

  • Изучали безопасность хранения непередаваемых данных на общедоступных устройствах хранения Android. Egele et al показывают, что 10 327 из 11 748 изученных ими приложений содержат по крайней мере одну ошибку в использовании криптографических API.

Maji et al проводят нечеткое тестирование для оценки надежности ICC механизма Android, показывая, что обработка исключений используется редко и что приложение может быть аварийным во время выполнения из непривилегированного пользовательского процесса. Allix и другое проводят судебную экспертизу приложений для Android, что свидетельствует о том, что многие вредоносные приложения для Android разрабатываются в промышленном масштабе.

https://pixabay.com/ru/photos/iphone-%D1%81%D0%BC%D0%B0%D1%80%D1%82%D1%84%D0%BE%D0%BD-apps-apple-inc-410324/
https://pixabay.com/ru/photos/iphone-%D1%81%D0%BC%D0%B0%D1%80%D1%82%D1%84%D0%BE%D0%BD-apps-apple-inc-410324/

В этом исследовании эмпирически исследовали новый набор функций для обнаружения вредоносных программ для Android. Этот новый набор функций основан на потенциальных утечках компонентов, которые мы определяем, как потоки конфиденциальных данных, использующие межкомпонентные коммуникации Android.

  • Сначала мы показали, что PCL широко распространены в приложениях для Android. Дальнейшие исследования показали, что вредоносные программы содержат значительно больше PCL, чем доброкачественные приложения.

Наконец, очень успешно применили PCLs в качестве функций для обнаружения вредоносных программ на основе машинного обучения.