Google обяви нови функции за сканиране в реално време за Google Play Protect, които затрудняват откриването на злонамерени приложения, използващи полиморфизъм.
Това представлява значителна стъпка към повишаване на безопасността за всички потребители на Android и има за цел да намали броя на инфекциите със зловреден софтуер в платформата.
Сканиране на кода в реално време
Платформата Play Protect на Google е вградената система за защита на Android за извършване на сканирания на устройството за нежелан софтуер и зловреден софтуер, която се захранва от данни, получени от 125 милиарда сканирания дневно.
Инструментът работи за приложения, изтеглени от Google Play, официалния магазин за приложения на Android, и APK (пакети за Android), изтеглени от външни източници и магазини за приложения на трети страни.
Когато Play Protect открие нещо подозрително в дадено приложение, той предупреждава потребителите да не продължават с инсталирането му.
Предупреждение за Play Protect (Google)
Проблемът се състои в това, че авторите на зловредни приложения, популяризирани извън Google Play, прибягват до изкуствен интелект и полиморфен зловреден софтуер, който често променя идентифицируемата информация в зловредната програма, за да заобиколи автоматизираните платформи за сигурност и да направи тези сканирания неефективни.
След като приложенията бъдат инсталирани на устройството на потребителя, те извличат допълнителен код от външен ресурс, като завършват злонамерената си функционалност на етапа след проверката, където няма механизми за спирането им.
Въпреки това след публикуването Google заяви, че преглежда приложенията повторно, включително събира сигнали за динамично зареждане на код, за да защити потребителите, когато се установи такова поведение.
За да се справи с този пропуск, Google вече е подобрила Play Protect с възможността да извършва сканиране в реално време на ниво код и добавя препоръка за извършване на сканиране на приложения, които не са били сканирани преди това.
Сканирането извлича сигнали от приложението, като ги изпраща към бекенд инфраструктурата на Play Protect за задълбочен анализ на ниво код, връщайки резултат за безопасността на приложението.
„Нашите защити за сигурност и алгоритми за машинно обучение се учат от всяко приложение, изпратено за преглед в Google, и разглеждаме хиляди сигнали и сравняваме поведението на приложенията“, обяснява Google в съобщение за пресата.
„Google Play Protect непрекъснато се подобрява с всяко идентифицирано приложение, което ни позволява да засилим защитата си за цялата екосистема на Android.“
Усъвършенстваният скенер на Play Protect ще използва статичен анализ, заедно с евристични методи и машинно обучение, за да идентифицира модели, показващи злонамерена дейност. Извлечените сигнали от приложението служат като ключови входни данни за неговия анализ, базиран на изкуствен интелект.
При това положение все още може да има някои злонамерени приложения, които могат да се изплъзнат на новата система чрез добавяне на дълги забавяния преди изтеглянето на зловреден код или друго поведение.
Въпреки това количеството на неоткрития зловреден софтуер би трябвало да бъде намалено от тази нова система, поне докато авторите на зловреден софтуер не успеят да коригират техниките си, за да заблудят или заобиколят тези сканирания.
Сканирането в реално време на ниво код в Google Play Protect вече е достъпно в Индия и други избрани държави и постепенно ще бъде въведено в целия свят през следващите месеци.
Play Protect работи и се актуализира редовно на повечето устройства с Android, включително Android 5 и по-нови версии.
Това позволява системата за сигурност да се актуализира редовно независимо от месечното пускане на актуализации на Android.
