Google Bouncer: Skurkene kan ha en app for det

Ryktefabrikken ser ut til å ha det riktig. Det siste året har Google kjørt en tjeneste kodenavnet Bouncer. Tjenesten skanner nye apper, apper som allerede er i Android Market, og utviklerkontoer for skadelig programvare. Her er Googles syn på hvordan Bouncer fungerer:

"Når en applikasjon er lastet opp, begynner tjenesten umiddelbart å analysere den for kjent malware, spyware og trojanere. Den ser også etter atferd som indikerer at et program kan oppføre seg feil, og sammenligner det med tidligere analyserte apper for å oppdage mulige røde flagg.

Vi kjører faktisk alle applikasjoner på Googles skyinfrastruktur og simulerer hvordan den vil kjøres på en Android-enhet for å se etter skjult, ondsinnet oppførsel. "

Det er gode nyheter.

Det vil ikke fungere

Ikke mer enn tretti sekunder etter at jeg var ferdig med å lese pressemeldingen, ringte min venn - en Apple-entusiast -. "Du vet, det vil ikke fungere, " knipset han, nei hei, nei hvordan går det. "De har nerven til å si at skadelig programvare i Android Market har gått ned. Det er bare galt."

Jeg forsto da at han refererte til denne delen av nyhetsbulletinene:

"Tjenesten har lett etter ondsinnede apper i Market en stund, og mellom første og andre halvdel av 2011 så vi en 40 prosent nedgang i antall potensielt skadelige nedlastinger fra Android Market.

Dette fallet skjedde samtidig som selskaper som markedsfører og selger anti-malware og sikkerhetsprogramvare har rapportert at ondsinnede applikasjoner øker. Selv om det ikke er mulig å forhindre at dårlige mennesker bygger skadelig programvare, er den viktigste målingen om disse dårlige applikasjonene blir installert fra Android Market, og vi vet at hastigheten synker betydelig. "

Spol frem fire dager

Vennen min ringer igjen. Jeg håper virkelig på hei denne gangen. Nei. "Leste du Andy Greenbergs siste artikkel?" spurte han. "Bouncer er så skrudd. Din Android bug hunter, professor Jiang har funnet en løsning."

Det fikk oppmerksomheten min. Dr. Xuxian Jiang, adjunkt ved North Carolina State, er ikke en å ignorere. Jeg har stolt på ekspertisen hans gang på gang.

Google Bouncer og RootSmart

Jeg leste Andy sin artikkel og begynte å bli spent - alarmert ville være mer nøyaktig. Det ser ut til at Dr. Jiang og hans forskerteam oppdaget RootSmart, en malware-variant som opprinnelig ser ut til å være godartet, slik at den kan seile gjennom skanner og tillatelseskontroller. Etter at det er avgjort, prøver RootSmart å laste ned den ekle malware fra eksterne servere.

Dette må være det min venn refererte til - RootSmart kan potensielt lure Bouncer.

Så leste jeg Andy oppdateringen til artikkelen. Det ser ut til at Google har lappet hullet utnyttet av RootSmart. Fortsatt kan samvittighetsfulle skurkene finne en annen utnyttelsesvektor. Jeg tenkte at jeg skulle sjekke ut tingene for så å få ordet ut. Så jeg kontaktet Dr. Jiang for å få detaljene. Her var hva han hadde å si.

Kassner : Den siste Android-troféen for Android er RootSmart. Det er betydelig buzz om denne feilkoden. Hvorfor det? Jiang : RootSmart er et interessant stykke Android-skadelig programvare som dynamisk kan hente kode fra en ekstern kommando- og kontrollserver (C&C) -server for utførelse. Den nedlastede koden inneholder en root exploit som - hvis den er vellykket - kan omgå den innebygde sikkerhetsmekanismen i Android. Kassner : Jeg har lest på bloggen din at RootSmart ligner Gingermaster - den første rotutnyttelsen for å målrette Android versjon 2.3 - med ett unntak. Vil du forklare hva det er? Jiang : Veldig bra spørsmål. Forskjellen er at i RootSmart hentes root exploit dynamisk fra en ekstern server mens GingerMaster omslutter root exploit i seg selv. RootSmart vil med andre ord være mye stealthier ved å ikke inneholde rotutnyttelsen. Kassner : Bloggen din nevner at GingerBreak er skadelig programvare som RootSmart laster ned for å få root-tilgang. Jeg har hørt at Google lappet sårbarheten GingerBreak-angrep. For å være sikker kontaktet jeg Google og en av deres talspersoner tilbød følgende:

"Hver Android-enhet oppdatert etter mai 2011 har fått GingerBreak-oppdatering. Vi tester eksplisitt for den i vår kompatibilitetstestsuite, og vi vil ikke godkjenne en enhet som har utnyttelsen til stede.

Dette er at det finnes andre metoder for å beskytte brukere utover en malware skanner. Dette taler til Android forsvar i dybden og ikke til å stole på noe spesifikt brukerbeskyttelsestiltak. "

Når det er sagt, Dr. Jiang, er GingerBreak et krav?

Jiang : Ikke nødvendigvis kan skadelig programvare laste ned andre typer root exploits. I mellomtiden må jeg si, selv om GingerBreak-utnyttelsen er lappet, det er Android-enheter som kjører gamle og sårbare versjoner av Android. Kassner : Jeg var ikke klar over hva som skjer når RootSmart ringer hjem. Så jeg ba Android-ekspert og stipendiat TechRepublic, William Francis om hans hjelp. Francis : Å svare på spørsmålet ditt, å si en app "telefoner hjem" er bare det, et ordtak. Med det mener jeg at det ikke egentlig bruker telefonen til å ringe hjem, men en TCP / IP-kontakt. Det betyr at det ikke er nødvendig med noe rotprivilegium. Faktisk kan enhver app som har INTERNET-privilegium, teoretisk sett "ringe hjem".

Det som krever root-tilgang er å installere og utføre vilkårlig kode. Så mens en app kunne ringe hjem uten root-rettigheter og til og med laste ned skadelig programvare til enheten (hvis appen også hadde lokale SD-skriverettigheter), uten at root-utnyttelsen ikke kunne appen ikke installere eller kjøre den ondsinnede koden.

Kassner : Nå til spørsmålet alle stiller. Google har nettopp gitt ut informasjon om deres nye tjeneste Bouncer. Det antas å lokalisere og fjerne apper som inneholder skadelig programvare fra Android Market. Vil utnyttelser som RootSmart lure Bouncer? Jiang : Det er et våpenløp. Jeg vil ikke si at RootSmart vil lure Bouncer, men det vil absolutt utgjøre noen utfordringer for deteksjonen. Kassner : Jeg er nysgjerrig på om mobile antivirus-apper vil kjenne igjen RootSmart når den først er installert på telefonen? Og er svaret annerledes hvis RootSmart laster ned den faktiske nyttelasten til skadelig programvare? Jiang : Du kan se gjeldende deteksjonshastighet for RootSmart på denne lenken. I utgangspunktet, blant 43 antivirus-motorer som er vert på VirusTotal, er åtte av dem nå i stand til å oppdage denne delen av skadelig programvare. Hvis skadelig programvare laster ned den faktiske skadepakken, antar jeg at flere antivirus-motorer vil oppdage den nedlastede skadepakken, men ikke nødvendigvis RootSmart. Kassner : Har du noen forslag / forhåndsregler vi bør følge for å unngå RootSmart? Jiang : Se bloggen min om mulig avbøtning. Følg i utgangspunktet retningslinjer for sunn fornuft for sikkerhet for smarttelefoner. For eksempel:
  • Last ned apper fra anerkjente appbutikker som du stoler på; og sjekk alltid anmeldelser, rangeringer, samt utviklerinformasjon før du laster ned.
  • Sjekk tillatelsene på appene før du faktisk installerer dem, og sørg for at du er komfortabel med dataene de får tilgang til.
  • Vær våken for uvanlig oppførsel fra mobiltelefoner, og sørg for at du har oppdatert sikkerhetsprogramvare installert på telefonen.
Kassner : Jeg har lagt merke til at du samarbeider med et selskap som heter NQ Mobile. Jeg har ikke hørt omtale av dem før. Hva er deres rolle i arbeidet ditt? Jiang : I fjor begynte forskerteamet mitt å jobbe med NQ Mobile - en ledende global leverandør av forbrukssentrert mobilsikkerhets- og produktivitetsapplikasjoner. Samarbeidet skaper store muligheter for å bedre forstå, overvåke og eksponere mobile trusler i virkeligheten i omfang. Så neste generasjons mobilsikkerhetsløsninger kan utvikles for å beskytte mobilbrukere. Kassner : Dr. Jiang, jeg følger Android-sikkerhet nøye, ingen jeg kjenner finner flere utnyttelser rettet mot Android-enheter enn deg og teamet ditt. Vil du dele hemmeligheten din? Jiang : Godt spørsmål. Jeg har blitt spurt om dette mange ganger. Det er ingen hemmelighet; du trenger å vite hvordan ting fungerer og hva som kan gå galt. Den nødvendige bakgrunn og erfaring er også nødvendig for å identifisere skadelig programvare og utnyttelse av Android. Kassner : I mitt siste intervju med deg henviste du til teamet ditt og deres evne til å tyde Android-utnyttelser. Jeg ble oversvømmet av forespørsler fra studenter, og ønsket at jeg skulle spørre teammedlemmene Michael Grace, Yajin Zhou og Zhi Wang om deres interesser, studier og hvorfor dette forskningsområdet interesserer dem.

Ville de være villige til å hjelpe denne skribenten og innboksen hans?

Jiang : De er fantastiske doktorgrader. studenter å jobbe med - motivert for læring og brenner for å identifisere mobile trusler. Dette er grunnen til at de jobber med veldig avanserte forskningsprosjekter som omhandler smarttelefon- og virtualiseringssikkerhet. Hele teamet er dedikert til å overvåke og identifisere nye malware og trusler fra Android.

Siste tanker

Googles talsperson ønsket at jeg skulle gjøre det klart at RootSmart ikke ble funnet i Android Market:

"Bouncer er ikke relevant for denne diskusjonen, fordi Bouncer er fokusert på skadelig programvare i Android Market. Dr. Jiangs funn gjelder ikke noen apper i Market."

For øyeblikket er det sant. Katte- og musespillet fortsetter.

En spesiell takk til Dr. Jiang, hans forskerteam og William Francis.

© Copyright 2021 | pepebotifarra.com