Root-эксплойты берут на себя функции системного администрирования операционной системы, такой как Android. Успешный эксплойт для Android root дает хакерам неограниченный контроль над смартфоном пользователя.Новый инструмент безопасности называется Practical Root Exploit Conservation (PREC). Он уточняет существующий метод, называемый обнаружением аномалий, который сравнивает поведение загруженного приложения для смартфона (или приложения), такого как Angry Birds, с базой данных ожидаемого поведения приложения.
При обнаружении отклонений от нормального поведения PREC анализирует их, чтобы определить, являются ли они вредоносными программами или безобидными «ложными срабатываниями». Если PREC определяет, что приложение пытается использовать рут-эксплойт, оно эффективно содержит вредоносный код и предотвращает его выполнение.«Обнаружение аномалий не ново, и у него сложная история с сообщением о большом количестве ложных срабатываний», — говорит доктор Уилл Энк, доцент кафедры информатики в NC State и соавтор статьи о работе. «Что отличает наш подход, так это то, что мы фокусируемся исключительно на коде C, на котором написано большинство, если не все, корневые эксплойты Android».«Такой подход значительно снизил количество ложных срабатываний», — говорит доктор Хелен Гу, доцент кафедры информатики в NC State и соавтор статьи. «Это снижает неудобства для пользователей и делает обнаружение аномалий более практичным».
Исследователи надеются работать с поставщиками приложений, такими как Google Play, над созданием базы данных о нормальном поведении приложений.Большинство поставщиков приложений проверяют свои продукты на наличие вредоносных программ, но программисты вредоносных программ разработали методы предотвращения обнаружения — скрытие вредоносного ПО до тех пор, пока пользователи не загрузят приложение и не запустят его на своих смартфонах.Исследовательская группа штата Северная Каролина хочет воспользоваться установленными усилиями по проверке поставщиков, чтобы создать базу данных о нормальном поведении каждого приложения. Это можно сделать, попросив поставщиков включить программное обеспечение PREC в свои процессы оценки приложений.
Программное обеспечение возьмет данные о поведении приложения и создаст внешнюю базу данных, но в противном случае не повлияет на процесс проверки.«Мы уже внедрили систему PREC и протестировали ее на реальных устройствах Android», — говорит Гу. «Сейчас мы ищем отраслевых партнеров для развертывания PREC, чтобы мы могли защитить пользователей Android от эксплойтов root».
Документ «PREC: Практическое ограничение использования корневых уязвимостей для устройств Android» будет представлен на Четвертой конференции ACM по безопасности и конфиденциальности данных и приложений, которая состоится 3-5 марта в Сан-Антонио, штат Техас. Ведущий автор статьи — бывший аспирант Северной Каролины Цзун-Сюань Хо. Соавтором статьи является доктор философии Дэниел Дин. студент в лаборатории Гу в штате Северная Каролина.
Работа поддержана Агентством национальной безопасности; Грант Исследовательского бюро армии США W911NF-10-1-0273; Национальный научный фонд предоставляет гранты CNS-1149445, CNS-1253346 и CNS-1222680; Награды IBM Faculty Awards и Google Research Awards.