क्या यह दुर्भावनापूर्ण Android ऐप्स का संभावित इलाज है?

एंड्रॉइड एप्लिकेशन बाजार उपयोगकर्ताओं को एप्लिकेशन प्राप्त करने का एक सुविधाजनक तरीका है। बाजार बदमाशों के लिए मैलवेयर पहुंचाने का एक सुविधाजनक तरीका भी है। बाज़ार के मालिक, अपने क्रेडिट के लिए, Google बाउंसर जैसे सुरक्षा उपायों का उपयोग करके खराब ऐप्स को सूँघने की कोशिश करते हैं। अफसोस की बात है, अधिकांश - बाउंसर सहित - कार्य तक नहीं हैं। बुरे लोग लगभग तुरंत यह पता लगा लेते हैं कि कैसे, जब एक इम्यून वातावरण, बाउंसर अपने कोड का परीक्षण कर रहा था। पहले के एक साक्षात्कार में, जॉन ओबेरहाइड, डुओ सिक्योरिटी के सह-संस्थापक और समस्या के बारे में Google को सूचित करने वाले व्यक्ति ने समझाया:

"बाउंसर को प्रभावी बनाने के लिए, इसे वास्तविक उपयोगकर्ता के मोबाइल डिवाइस से अप्रभेद्य होना चाहिए। अन्यथा, एक दुर्भावनापूर्ण एप्लिकेशन यह निर्धारित करने में सक्षम होगा कि वह बाउंसर के साथ चल रहा है और अपने दुर्भावनापूर्ण पेलोड को निष्पादित नहीं कर रहा है।"

एक और तरीका है कि बुरे लोग मूर्ख बाउंसर को एक लॉजिक बम का उपयोग करते हैं। अपने इतिहास के दौरान, लॉजिक बम ने कंप्यूटिंग उपकरणों पर कहर बरपाया है। इस मामले में, लॉजिक बम कोड चुपचाप मैलवेयर चेकर्स को विफल कर देता है, बहुत कुछ बाउंसर की विफलता की तरह पेलोड को सक्रिय करने के लिए जब तक दुर्भावनापूर्ण ऐप एक वास्तविक मोबाइल डिवाइस पर स्थापित नहीं हो जाता।

लब्बोलुआब यह है कि एंड्रॉइड ऐप बाजार, जब तक कि वे ऐप में मैलवेयर पेलोड का पता लगाने में कुशल नहीं हो जाते हैं, वास्तव में, मैलवेयर के लिए एक प्रमुख वितरण प्रणाली है।

एक पुराने दृष्टिकोण के लिए एक नया मोड़

त्सुंग-हूसन हो, डैनियल डीन, शियाओहुई गु, और विलियम एनक के उत्तर कैरोलिना स्टेट यूनिवर्सिटी के शोध दल ने एक समाधान खोजा हो सकता है। एंड्रॉइड डिवाइसेस के लिए उनके पेपर PREC: प्रैक्टिकल रूट एक्सप्लॉइट कंटेंट में, रिसर्च टीम ने एक विसंगति का पता लगाने वाली योजना का अपना संस्करण पेश किया। PREC में दो घटक होते हैं: एक जो ऐप स्टोर के मैलवेयर डिटेक्टर के साथ काम करता है, और एक जिसे मोबाइल डिवाइस पर एप्लिकेशन के साथ डाउनलोड किया जाता है।

ऐप स्टोर घटक इस मायने में अनूठा है कि यह नियोजित करता है कि शोधकर्ता "वर्गीकृत सिस्टम कॉल मॉनिटरिंग" क्या कहते हैं। यह दृष्टिकोण गतिशील रूप से उच्च-जोखिम वाले घटकों जैसे थर्ड-पार्टी लाइब्रेरी (एंड्रॉइड सिस्टम में शामिल नहीं हैं, लेकिन जो डाउनलोड किए गए एप्लिकेशन के साथ आते हैं) से कॉल की पहचान कर सकते हैं। यहाँ तर्क यह है कि कई दुर्भावनापूर्ण ऐप अपने स्वयं के पुस्तकालयों का उपयोग करते हैं।

इस निगरानी से प्राप्त उच्च-जोखिम वाले तृतीय-पक्ष कोड से सिस्टम कॉल, प्लस ऐप-स्टोर डिटेक्शन प्रक्रिया से प्राप्त डेटा, PREC को एक सामान्य व्यवहार मॉडल बनाने की अनुमति देता है। सटीकता के लिए मौजूदा मॉडल की तुलना में मॉडल को PREC सेवा पर अपलोड किया गया है, ओवरहेड और मिमिक्री हमलों के लिए मजबूती।

अपडेट किए गए मॉडल को तब एप्लिकेशन के साथ डाउनलोड करने के लिए तैयार किया जाता है, जब भी ऐप स्टोर पर जाने वाले किसी व्यक्ति द्वारा अनुरोध किया जाता है।

इसे निगरानी चरण माना जाता है। एक बार PREC मॉडल और एप्लिकेशन Android डिवाइस में डाउनलोड हो जाने के बाद, PREC प्रवर्तन चरण में प्रवेश करता है - दूसरे शब्दों में, विसंगति का पता लगाने और मैलवेयर के नियंत्रण में।

असंगति का पता लगाये

एक बार जब ऐप और PREC मॉडल एंड्रॉइड डिवाइस पर ग़ुलाम हो जाते हैं, तो PREC तृतीय-पक्ष कोड, विशेष रूप से सिस्टम कॉल की निगरानी करता है। यदि सिस्टम-कॉल अनुक्रम ऐप स्टोर में मॉनिटर किए गए से अलग है, तो PREC इस संभावना को निर्धारित करता है कि असामान्य व्यवहार एक शोषण है। एक बार PREC यह निर्धारित करता है कि गतिविधि दुर्भावनापूर्ण है, यह मैलवेयर रोकथाम मोड में चला जाता है।

मैलवेयर कंटेनर

अगर सही तरीके से समझा जाए, तो एंड्रॉइड एंटी-मालवेयर की बात आने पर मैलवेयर कंटेंट PREC को विशिष्ट बनाता है। एंड्रॉइड ऑपरेटिंग सिस्टम की प्रकृति के कारण, एंड्रॉइड एंटी-मैलवेयर एप्लिकेशन मैलवेयर को हटाने या इसे संगरोध में रखने में असमर्थ हैं क्योंकि प्रत्येक एप्लिकेशन सैंडबॉक्स में रहता है। इसका मतलब यह है कि उपयोगकर्ता को डिवाइस के सिस्टम मैनेजर के एप्लिकेशन अनुभाग में पहले मैलवेयर का पता लगाने के लिए मैन्युअल रूप से दुर्भावनापूर्ण एप्लिकेशन को हटाना होगा, फिर मैलवेयर ऐप के आंकड़े पृष्ठ को खोलना होगा, और "अनइंस्टॉल" टैप करना होगा।

क्या पीआरईसी को अद्वितीय बनाता है, जो शोधकर्ताओं ने "देरी-आधारित बारीक दानेदार नियंत्रण तंत्र" कहा है। सामान्य विचार अलग थ्रेड के पूल का उपयोग करके संदिग्ध सिस्टम कॉल को धीमा करना है। यह समय-समय पर शोषण को मजबूर करता है, जिसके परिणामस्वरूप "एप्लिकेशन नॉट रिस्पॉन्डिंग" स्थिति होती है, जिसमें ऐप एंड्रॉइड ऑपरेटिंग सिस्टम द्वारा अंततः बंद हो जाता है।

PREC को सिस्टम-कॉल थ्रेड्स को मारने के लिए प्रोग्राम किया जा सकता है, लेकिन यदि विसंगति डिटेक्टर गलती करता है तो यह सामान्य अनुप्रयोग संचालन को तोड़ सकता है। जोखिम के बजाय, शोधकर्ता थ्रेड के निष्पादन के दौरान देरी करते हैं।

"हमारे प्रयोगों से पता चलता है कि दुर्भावनापूर्ण देशी धागे को एक निश्चित बिंदु तक धीमा करने के बाद अधिकांश मूल शोषण अप्रभावी हो जाते हैं। विलंब-आधारित दृष्टिकोण झूठे अलार्म को अधिक सुंदर तरीके से संभाल सकता है क्योंकि सौम्य एप्लिकेशन को क्षणिक झूठ के कारण दुर्घटनाग्रस्त या समाप्त नहीं होगा। अलार्म, "कागज बताते हैं।

परीक्षण के परिणाम

PREC का मूल्यांकन करने के लिए, शोधकर्ताओं ने एक प्रोटोटाइप बनाया और इसे 140 ऐप्स (देशी कोड के साथ 80 और देशी कोड के बिना 60) के साथ परीक्षण किया - प्लस 10 ऐप्स (मालवेयर जीनोम परियोजना से चार ज्ञात रूट शोषण अनुप्रयोग, और छह रीपैकेड रूट शोषण अनुप्रयोग - जिसमें मालवेयर था। मैलवेयर में DroidDream, DroidKungFu, GingerMaster, RATC, ZimperLich और GingerBreak के संस्करण शामिल थे।

परिणाम:

• PREC ने सभी परीक्षण किए गए मूल कारनामों का सफलतापूर्वक पता लगा लिया और उन्हें रोक दिया।
• इसने मूल कोड के बिना सौम्य अनुप्रयोगों पर शून्य झूठे अलार्म उठाए। (पारंपरिक योजनाएं 67-92% प्रति-ऐप झूठे अलार्म बढ़ाती हैं।)
• PREC ने पारंपरिक विसंगतियों की खोज करने वाले एल्गोरिदम पर परिमाण के एक से अधिक क्रमों के साथ मूल कोड के साथ सौम्य अनुप्रयोगों पर झूठी अलार्म दर को कम किया

विस्तृत परीक्षण के परिणाम PREC शोध पत्र में पाए जा सकते हैं।

PREC के लाभ

परीक्षणों में अच्छा प्रदर्शन करने और एंड्रॉइड मालवेयर युक्त करने के लिए एक व्यावहारिक विधि को अग्रेषित करने के अलावा, PREC ने निश्चित रूप से बेहतर संख्याएँ प्राप्त कीं, जब झूठी सकारात्मकता और प्रदर्शन के नुकसान की बात आई। प्रदर्शन के अनुसार, पेपर ने कहा कि पीआरईसी की "वर्गीकृत निगरानी योजना 1% से अधिक ओवरहेड लगाती है, और एसओएम विसंगति का पता लगाने वाला एल्गोरिथ्म 2% से अधिक ओवरहेड लगाता है। कुल मिलाकर, पीआरईसी हल्का है, जो इसे स्मार्टफोन उपकरणों के लिए व्यावहारिक बनाता है।"

ऐप स्टोर द्वारा उपयोग किए जाने वाले वर्तमान मैलवेयर-डिटेक्शन सिस्टम अप्रभावी हैं। PREC उच्च सटीकता का पता लगाने की सटीकता, झूठे अलार्म का एक कम प्रतिशत, और मैलवेयर युक्त प्रदान करता है - ऐसा कुछ जो वर्तमान में मौजूद नहीं है।

चुनौती

PREC को काम करने की कुंजी ऐप मार्केटप्लेस से खरीदना-खरीदना है। यह केवल एक डेटाबेस बनाने की बात है, जो बताता है कि कोई एप्लिकेशन सामान्य रूप से कैसे कार्य करता है। PREC एक ऐसा उपकरण है जिसे पूरा करने के लिए इस्तेमाल किया जा सकता है। फिर, जब कोई उपयोगकर्ता किसी वांछित एप्लिकेशन को डाउनलोड करता है, तो प्रदर्शन की जानकारी (PREC प्रोफ़ाइल) ऐप के साथ चली जाती है, और इसे एंड्रॉइड डिवाइस पर इंस्टॉल होने के दौरान ऐप के व्यवहार को आधारभूत करने के लिए उपयोग किया जाएगा।