Добавлено: 19.02.2014
«Как я узнаю, что новое установленное приложение ведет себя, так как это описали разработчики»? – спрашивает профессор саарского университета Андреас Целлер. Пока эксперты определяют так называемые вредоносные программы, проверяя их поведение по сигнатурам известных атак. «Но что если тип атаки совершенно новый»? – спрашивает Целлер.
Его группа нашла новый способ решить эту проблему. Целлер объясняет идею следующим образом: «приложения, функциональность которых описана в App Store, должны вести себя соответствующим образом. Если это не так, они подозрительны», передает Gazetenka.com.
Его исследовательская группа назвала программу, основанную на этой идее "Chabada". Для каждого приложения она анализирует описание функционала, которое есть в App Store. Методом обработки естественного языка, программа определяет основные темы, например «музыка». После этого Chabada проверяет другие приложения по смежным темам. Например, кластер «путешествие» состоит из всех приложений, которые имеют дело с путешествиями в некотором роде. Используя программный анализ, Chabada определяет, к каким данным и сервисам обращается приложение. Приложения для путешественников обычно обращаются к GPS и соответствующим серверам, чтобы загрузить карту. Таким образом, тайная отправка текстовых сообщений в приложении подозрительна.
Исследователи применили этот подход к 22521 приложению из магазина Google Play. По специально построенному сценарию они загрузили 150 самых популярных приложений в 30 категориях Google Play в течение весны и зимы прошлого года. Затем Chabada их анализировала. В результате исследователи нашли 56% существующих шпионских программ, не зная их модели поведения заранее.
Даже после того как антивирусные компании сообщают в Google о вредоносном приложении, Google реагирует не сразу и в течение нескольких дней приложение находится в Google Play, а это около 25 тысяч потенциально зараженных смартфонов, по данным Dr.Web .
«В будущем Chabada может служить в качестве своего рода фильтра, гарантируя, что вредоносные приложения никогда не смогут попасть в App Store», говорит Целлер.
Исследователи представят свой новый подход на международной конференции ICSE в Индии в конце мая. Уже в марте специалисты по безопасности Google встретятся с командой исследователей. Google также пригласили Целера и его коллег проанализировать весь Google App Store.