4 февраля 2012 г.

Борьба с вредоносным ПО в Android Market

Оригинал статьи: Android Market’s Malware Scanner

Google не любит вручную обрабатывать контент, созданный пользователями. Это не эффективно, алгоритмы справляются лучше. Представьте, сколько людей пришлось бы нанять для отслеживания всех видео, размещаемых на YouTube (60 часов видео загружается каждую минуту).

В некотором смысле загружка приложений в андроид-маркет похожа на загрузку видео на YouTube. Конечно, нужно заплатить сбор, но ждать, пока служащий Google проверит приложение, не нужно. К сожалению, это означает, что в приложении может оказаться вредоносное ПО (malware), приложение может вводить пользователя в заблуждение, вызывать сбои или спамить по адресной книге. Как правило, Google проверяет приложение только после того, как несколько пользователей сообщили, что оно вредоносное.

Теперь проверка будет происходить автоматически: новый сервис под названием Bouncer (‘вышибала’) «в автоматическом режиме сканирует приложения Android Market на предмет наличия потенциально вредоносного ПО, не осложняя жизнь пользователей Android Market и не требуя от разработчиков прохождения процесса проверки приложения. С помощью ряда анализов сервис проводит проверку новопоступивших приложений, уже размещённых приложений и учётных записей разработчиков. Вот как это происходит: как только приложение загружено в Android Market, сервис немедленно начинает проверять его на предмет наличия известного вредоносного ПО, шпионского ПО и троянов. Он также проверяет работу приложения и сравнивает его с уже проанализированными приложениями с целью обнаружения потенциально опасных моментов. Мы запускаем каждое приложение в облачной инфраструктуре Google и моделируем его поведение на Android-устройстве, чтобы выявить потенциально вредоносное поведение».

На первый взгляд, это великолепная идея: Google тестирует приложение, не ожидая, когда пользователи установят его и обнаружат, что что-то не так. Проблема в том, что этот сервис тестировался в прошлом году и выискивал потенциально вредоносные приложения, однако несмотря на это приложения, заражённые DroidDream, были обнаружены фирмой компьютерной безопасности, а не Google.

«Этот сервис применяется для поиска вредоносного ПО в Android Market уже некоторое время, и во второй половине 2011 г. мы обнаружили на 40 % меньше потенциально вредоносных закачек из Android Market, чем в первой половине года. Такое сокращение наблюдалось при том, что компании, работающие на рынке компьютерной безопасности, сообщали о росте числа вредоносных программ», заявляет Google. Однако этот факт может объясняться и тем, что данный сервис Google ещё не достиг нужного уровня качества.

Google также заявляет, что Android «смягчает воздействие вредоносного ПО», поскольку используется запуск в «песочнице», отслеживается список разрешений для приложения, а вредоносные программы могут быть удалены из Android Market удалённо. Однако можно усомниться в том, что пользователи знакомятся со списком разрешений. Многие пользователи попросту не обращают на него внимания — жмут «ОК» и устанавливают приложение. Возможно, имело бы смысл требовать от пользователя в явном виде давать разрешение на важные действия по ходу пользования приложением.

Пока компании, занимающиеся компьютерной безопасностью, пугают пользователей Android, пытаясь продвигать свои продукты, Google должен сосредоточиться на очистке Android Market от спама и вредоносного ПО. Неплохо было бы и усовершенствовать модель обеспечения безопасности.

Ссылки по теме
Engadget: Google’s ‘Bouncer’ service scans the Android Market for malware, will judge you at the door
The Verge: Google unveils ‘Bouncer’ service to automatically detect Android Market malware