RiskIQ, компания, занимающаяся разработкой программного обеспечения для ИТ-безопасности, недавно проверила 350 000 приложений, предлагающих денежные транзакции, и обнаружила, что более 40 000 из этих специализированных программ являются не более чем мошенничеством. Сотрудники скачали приложения примерно с 90 известных веб-сайтов магазинов приложений по всему миру и проанализировали их.
Они обнаружили, что в общей сложности одиннадцать процентов этих приложений содержат вредоносные исполняемые функции — они могут читать личные сообщения или снимать защиту паролем. И все это обычно происходит незаметно для пользователя.Ученые-компьютерщики из Саарбрюккена разработали программную систему, которая позволяет пользователям обнаруживать вредоносные приложения на ранней стадии. Это достигается путем сканирования программного кода с акцентом на те части, где соответствующее приложение получает доступ или передает личную информацию.
Программное обеспечение для мониторинга определит, связан ли запрос данных с последующей передачей данных, и соответственно пометит рассматриваемую кодовую последовательность как подозрительную. «Представьте, что ваша адресная книга зачитана, и сотни строк кода спустя, незаметно для вас, ваш телефон отправит ваши контакты на неизвестный веб-сайт», — говорит Эрик Дерр. Дерр — аспирант Высшей школы компьютерных наук Саарландского университета и исследователь Саарбрюккенского исследовательского центра ИТ-безопасности, CISPA.
Важной особенностью разработанного им программного обеспечения является его способность точно отслеживать, к каким веб-сайтам обращается приложение или по какому номеру телефона было отправлено текстовое сообщение.Чтобы окончательно обнаружить эти функциональные отношения между источником данных и получателем, исследователи используют современные методы анализа информационных потоков. Они заранее настроили свою программу со списком подозрительных кодовых комбинаций, которые обращаются к программным интерфейсам, чтобы она научилась различать «хорошие» и «злые» приложения, и дополнительно снабдили ее подробностями известных в настоящее время атак. «Так что может быть полезно, например, узнать телефонные номера этих дорогостоящих услуг премиум-класса.
Допустим, один из этих номеров набирается без согласия пользователя, тогда мошенничество очевидно», — объясняет Дерр. Поскольку его метод требователен к вычислениям, а также требует много места в памяти, программное обеспечение запускается на выделенном сервере. «Нашему программному обеспечению требуется в среднем 25 минут на одно приложение, — говорит Дерр.
На данный момент его исследовательская группа протестировала таким образом около 23 000 приложений. И, конечно же, от такого подхода больше всего выиграют потребители. «Приложение можно было бы проанализировать на нашем сервере, а результаты отобразить на вашем смартфоне. Или, в идеале, процесс оценки можно было бы интегрировать непосредственно в веб-сайты магазинов приложений», — объясняет Дерр.
Это одна из причин, по которой исследователи из Саарбрюккена уже обсуждают этот вопрос с американской компанией онлайн-ритейла Amazon. «Но Google, безусловно, тоже был бы вариантом», — говорит Дерр.