Независимые эксперты показали, как обходится антивирусная защита в магазине приложений Google Play
6 июня 2012 года
Эксперты по информационной безопасности Чарли Миллер и Джон Оберхайд нашли способ обхода Bouncer - автоматической системы защиты от вредоносного ПО в магазине приложений Google Play для платформы Android. Об этом, как передает РИА "Новости", свидетельствует видеоролик, опубликованный экспертами на сервисе YouTube. Подробнее об этих способах исследователи обещают рассказать на конференции по информационной безопасности Summercon 2012, которая пройдет в Нью-Йорке с 8 по 10 июня.
Система Bouncer является виртуальной копией смартфона на Android. Приложение, требующее проверки, запускается на виртуальной машине и тестируется на вредоносные функции. Google запустил Bouncer в феврале, после серии атак на магазин приложений Android Market, как тогда назывался Google Play.
Вследствие тех атак неизвестные киберпреступники разместили в магазине несколько десятков зараженных приложений, которые похищали персональные данные и отсылали SMS на платные номера.
"На самом деле существует целый ряд уязвимостей, которые позволяют обойти защитные механизмы Bouncer. Некоторые из них легко устранить, а некоторые еще долго будут представлять опасность для магазина Google", - говорит Оберхайд в видеоролике.
Одним из открытых исследователями способов является "обман" системы Bouncer. Перед публикацией в Google Play каждое приложение проходит проверку в этой системе. Для ее "обмана" Оберхайд и Миллер создали тестовое приложение с "обратной связью" - то есть возможностью сообщать владельцам о том, какие действия осуществляются с программой, даже во время ее проверки системой Bouncer.
Исследователи "научили" свою программу различать, в какой Android-смартфон - виртуальный или настоящий - она попала. Если программа опознает виртуальную среду, после установки она не активирует вредоносные функции, если они есть, и не скачивает никакого дополнительного кода из сети. В других случаях программа заражает смартфон.
Исследователи, впрочем, признают, что не менее легко можно избавиться от "простоты" виртуальной машины, то есть сделать ее содержимое более разнообразным и похожим на содержимое настоящего смартфона.
Миллер и Оберхайд также утверждают что обнаружили еще несколько способов выявления виртуальной среды, которые теоретически могут помочь злоумышленникам обойти антивирусную защиту Google Play.
В частности, вирусное приложение можно настроить на определение IP-адресов, принадлежащих Google (если смартфон, в который попала программа, использует их, велика вероятность того, что это тестовое устройство), а также выявление признаков работы ПО для виртуализации. Такой функционал в течение довольно продолжительного времени используется некоторыми троянскими программами для настольных систем, и, по мнению исследователей, ничто не мешает использовать его и в мобильной системе.
Чарли Миллер и Джон Оберхайд уже давно тестируют различные мобильные системы на предмет безопасности. Так, Оберхайд в 2010 году доказал, что даже не вредоносные пиратские копии приложений вроде "обновления" игры Angry Birds или приложение-фотоальбом Twilight photos могут незаметно загружать из сети вредоносный код уже после установки в память устройства и модифицировать себя в опасный троянец.
Миллер - один из самых известных в мире испытателей безопасности системы iOS. В частности, в прошлом году он обнаружил в коде операционной системы iPhone и iPad серьезную уязвимость и тут же лишился лицензии разработчика приложений для Apple. Обнаруженная им уязвимость позволяла загружать из сети и исполнять вредоносный код, даже несмотря на то, что Apple использует специальную технологию "подписанных" строчек кода, которая позволяет разработчикам приложений использовать лишь те программные команды, которые одобрили администраторы Apple. Компания даже выпустила внеочередное обновление, чтобы закрыть обнаруженную Миллером "дыру", хотя обычно она не торопится и выпускает обновления безопасности в пакете с другими обновлениями раз в несколько месяцев.
Источники
правитьЛюбой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.