Анотація: Дозволи Android мають велике значення для підтримки безпеки та конфіденційності користувачів шляхом контролю доступу програми до приватних ресурсів і даних. У даній статті розглядається роль дозволів Android у виявленні небезпечного програмного забезпечення з використанням статичного аналізу та досліджується, як можна використовувати дозволи для виявлення потенційно зловмисної поведінки. Крім цього, в даній статті йде обговорення методів статичного аналізу на основі дозволів. Дослідження підкреслює важливість обізнаності розробників та користувачів у темі дозволів операційної системи Android та необхідності постійної еволюції методів аналізу дозволів для ефективної боротьби з небезпечним програмним забезпеченням.
Ключові слова: дозволи Android, статичний аналіз, небезпечне програмне забезпечення, виявлення шкідливих програм, керування дозволами, аналіз на основі дозволів, безпека Android, дозволи застосунків
1.Вступ
У сучасному світі смартфони стали невід’ємною частиною нашого повсякденного життя і зі збільшенням швидкості їх поширення зростає й кількість мобільних додатків. Операційна система Android, маючи відкритий вихідний код, привернула увагу багатьох розробників, що призвело до появи широкого спектру нових застосунків, доступних для користувачів. Однак ця доступність також наражає екосистему Android на різні види загроз безпеці, що робить критично важливим усунення потенційних вразливостей та захист конфіденційності та даних користувачів.
Дозволів в операційній системі Android відіграють ключову роль у забезпеченні безпеки та конфіденційності користувачів. Вони діють як механізм контролю, регулюючи доступ програми до приватних ресурсів та даних на пристрої користувача. Забезпечуючи доступ додатків лише до необхідних ресурсів, дозволи Android допомагають запобігти несанкціонованому доступу та захистити користувачів від потенційно зловмисних дій. Однак неправомірне використання дозволів зловмисними програмами може призвести до порушень безпеки, тому важливо розробити надійні методи виявлення та пом’якшення таких загроз.
Одним із таких методів є статичний аналіз, який став ефективним підходом для виявлення небезпечного програмного забезпечення в програмах Android. Статичний аналіз передбачає перевірку вихідного коду програми або скомпільованих двійкових файлів без їх виконання. Цей метод дозволяє отримати повне розуміння поведінки програми, дозволяючи дослідникам і спеціалістам із безпеки виявляти потенційні вразливості та зловмисні наміри. Аналізуючи дозволи, запитувані програмою, статичний аналіз може виявити незвичні або підозрілі шаблони використання дозволів, які можуть вказувати на наявність небезпечного програмного забезпечення.
У даній статті ми аналізуємо роль дозволів Android у виявленні небезпечного програмного забезпечення з використанням статичного аналізу та досліджуємо, як можна використовувати дозволи для виявлення потенційно зловмисної поведінки. Крім цього, в статті наводяться різні методи статичного аналізу на основі дозволів, підкреслюється важливість дозволів для безпеки Android та надається огляд поточного стану досліджень у даній галузі. Наводячи дану інформацію, дана стаття має на меті зробити внесок у поточні зусилля щодо покращення безпеки екосистеми Android та захисту користувачів від небезпечного програмного забезпечення.
2.Методи статичного аналізу на основі дозволів
Методи статичного аналізу на основі дозволів є ключовим аспектом виявлення небезпечного програмного забезпечення в програмах Android. Дані методи аналізують дозволи, які запитує програма, щоб зрозуміти її потенційну поведінку та оцінити будь-які ризики безпеці, які вона може становити. У даному розділі розглядаються методи статичного аналізу на основі дозволів та їх ефективність.
Серед методів статичного аналізу на основі дозволів можна виділити наступні:
1. Зіставлення дозволів. Зіставлення дозволів – це процес визначення зв’язку між дозволами, запитуваними програмою, та її функціями. Проаналізувавши файл «AndroidManifest.xml», аналізатор може визначити, які дозволи потрібні програмі для роботи. Порівнюючи дані дозволи з пропонованими функціями програми, можна виявити будь-які невідповідності або надмірні запити на дозволи, які можуть вказувати на потенційно небезпечну поведінку.
2. Аналіз частоти дозволів. Ця техніка базується на аналізі шаблонів запитів на дозвіл у великому наборі програм. Оцінюючи частоту певних дозволів у конкретній категорії, аналізатор може визначити програми, що виходять за межі дозволеного, запитуючи непропорційну кількість дозволів порівняно з аналогами. Програми з нестандартними шаблонами дозволів можуть означати потенційну загрозу безпеці або порушення конфіденційності.
3. Комбінації дозволів. Комбінації дозволів стосуються аналізу певних наборів дозволів, запитуваних програмою. Певні комбінації дозволів можуть свідчити про потенційно небезпечну поведінку [1]. Наприклад, програма, яка запитує дані про місцезнаходження та можливість надсилати SMS-повідомлення, може увімкнути відстеження на основі місцезнаходження або ініціювати неавторизований зв’язок. Виявляючи підозрілі комбінації дозволів, аналізатор може звузити коло своїх цілей, зосередившись на потенційно небезпечних програмах.
4. Аналіз плям. Аналіз плям — це техніка, яка відстежує потік конфіденційних даних у коді програми. Спостерігаючи за тим, як програма використовує дані, до яких вона отримує доступ через надані дозволи, аналізатор може виявити будь-які несанкціоновані або зловмисні методи обробки даних. Цей метод допомагає виявити можливі витоки даних, несанкціоновану передачу даних і порушення конфіденційності в програмах Android.
5. Аналіз на основі машинного навчання. Методи машинного навчання можна використовувати для аналізу дозволів Android і їхнього зв’язку зі зловмисним програмним забезпеченням [2]. Навчаючи класифікатор на наборі відомих безпечних та небезпечних програм, моделі машинного навчання можуть передбачити, чи є програма потенційно шкідливою на основі її дозволів. Дані моделі можуть враховувати різні фактори, такі як кількість запитуваних дозволів, їх частоту та їх комбінації, щоб точно класифікувати програми як безпечні чи небезпечні.
Вивчаючи дозволи, їх частоту, комбінації та те, як програма обробляє конфіденційні дані, аналізатори безпеки застосунків можуть визначити потенційні загрози та захистити користувачів від шкідливих програм.
3.Аналіз існуючих досліджень та рішень
За останні роки кілька досліджень продемонстрували ефективні методи статичного аналізу на основі дозволів у виявленні небезпечного програмного забезпечення. У даному розділі наведено три тематичні рішення, котрі успішно застосували дані методи для виявлення шкідливих програм в операційній системі Android.
1.DREBIN [3] — це ефективна та легка для масштабування система виявлення зловмисного програмного забезпечення в операційній системі Android, яка використовує статичний аналіз дозволів, викликів API та інших системних функції. Аналізуючи файл «AndroidManifest.xml», DREBIN отримує запити на дозволи, виклики API та іншу відповідну інформацію про додаток. Витягнуті функції використовуються для навчання моделі машинного навчання, яка класифікує додатки як безпечні або шкідливі. Дослідження показало, що DREBIN досяг високого рівня виявлення з низьким рівнем помилкових позитивних результатів, демонструючи ефективність поєднання аналізу на основі дозволів з іншими характеристиками програми. Результати підкреслюють переваги включення дозволів у статичний аналіз для покращеного виявлення шкідливих програм.
2. AppScanner [4] — це система виявлення зловмисного програмного забезпечення Android на основі машинного навчання, яка фокусується на дозволах, намірах та викликах API. Витягаючи дані функції з додатків Android, AppScanner навчає кілька алгоритмів машинного навчання, зокрема дерева рішень, опорні векторні машини та випадкові ліси, щоб ідентифікувати потенційно шкідливі додатки. Автори виявили, що класифікатор випадкового лісу перевершує інші моделі, демонструючи потужність аналізу на основі дозволів у виявленні шкідливих програм Android. Дослідження підкреслює важливість вибору відповідної моделі машинного навчання та отримання відповідних дозволів для ефективного виявлення зловмисного програмного забезпечення.
3. DeepGuard [5] — це система виявлення зловмисного програмного забезпечення в операційній системі Android на основі глибокого навчання, яка використовує статичний аналіз дозволів та викликів API застосунку, котрий аналізується. Автори використовують нову техніку вилучення функцій, яка поєднує інформацію про дозволи з викликами API для створення вектора ознак фіксованої довжини. Потім дані вектори використовуються для навчання нейронної мережі, яка класифікує додатки як доброякісні або шкідливі. Результати дослідження показали, що DeepGuard також досяг високої точності виявлення з низьким рівнем помилкових спрацьовувань, демонструючи ефективність методів глибокого навчання у виявленні шкідливих програм на основі дозволів. Це підкреслює потенціал використання моделей глибокого навчання для виявлення небезпечного програмного забезпечення на основі дозволів та викликів API.
Ознайомившись з наведеними дослідженнями можна зазначити, що всі вони демонструють ефективність методів статичного аналізу на основі дозволів у виявленні небезпечного програмного забезпечення в операційній системі Android. Аналізуючи дозволи та впроваджуючи алгоритми машинного навчання, дослідники можуть ідентифікувати потенційні загрози та захистити користувачів Android від шкідливих програм. Постійна розробка та вдосконалення методів на основі дозволів має значну вагу у підтримці безпеки та конфіденційності користувачів Android.
4.Обмеження статичного аналізу на основі дозволів
Хоча методи статичного аналізу на основі дозволів довели свою ефективність у виявленні небезпечного програмного забезпечення, існують обмеження, які необхідно вирішити для подальшого покращення їх продуктивності.
1. Методи ухилення. Автори зловмисного програмного забезпечення часто використовують різні методи обфускації, щоб обійти інструменти статичного аналізу. Дані методи можуть включати перепакування, відображення, динамічне завантаження коду та шифрування, що може ускладнити вилучення та аналіз інформації, пов’язаної з дозволами.
2. Надпривілейовані програми. Багато доброякісних програм вимагають більше дозволів, ніж їм насправді потрібно, потенційно створюючи вразливі місця в безпеці. Проблема надмірних привілеїв ускладнює процес розрізнення безпечних і шкідливих програм на основі дозволів.
3. Динамічні зміни дозволів. Модель дозволів під час виконання Android дозволяє додаткам запитувати дозволи під час виконання, що дає змогу зловмисним програмам змінювати запитувані дозволи під час виконання. Методам статичного аналізу на основі дозволів може бути важко виявити таку динамічну поведінку.
4. Незбалансовані набори даних. Набори даних, які використовуються для навчання моделей машинного навчання для виявлення зловмисного програмного забезпечення, часто мають дисбаланс класів, з меншою кількістю шкідливих зразків порівняно з доброякісними. Цей дисбаланс може призвести до упереджених моделей і зниження ефективності виявлення.
5.Висновок
У даній статті було досліджено роль дозволів Android у виявленні небезпечного програмного забезпечення з використанням статичного аналізу.
Було обговорено методи статичного аналізу на основі дозволів, такі як підходи на основі машинного навчання, які довели ефективність у виявленні шкідливих застосунків. Кілька рішень, а саме DREBIN, AppScanner і DeepGuard, продемонстрували важливість включення дозволів у статичний аналіз. Крім того, було проаналізовано обмеження та проблеми, пов’язані зі статичним аналізом на основі дозволів, так як методи ухилення, надмірні привілейовані програми, динамічні зміни дозволів та незбалансовані набори даних.
Щоб усунути дані обмеження та покращити продуктивність статичного аналізу на основі дозволів, майбутні роботи слід зосередити на розробці більш надійних підходів до протидії методам ухилення, інтеграції динамічного аналізу зі статичним аналізом та вивченню методів збереження конфіденційності. Крім того, дослідники повинні вивчити методи розрізнення необхідних та непотрібних дозволів у доброякісних програмах, а також вивчити методи пом’якшення впливу незбалансованих наборів даних на виявлення шкідливих програм.
Підсумовуючи, дозволи Android відіграють значну роль у статичному аналізі для виявлення небезпечного програмного забезпечення та підтримці безпеки та конфіденційності користувачів Android. Оскільки автори зловмисного програмного забезпечення продовжують розробляти більш складні методи, важливо вдосконалювати методи статичного аналізу на основі дозволів для підтримки безпеки в екосистемі Android.
Використана література
1.Tam, K., Khan, S. J., Fattori, A., & Cavallaro, L. (2015). CopperDroid: Automatic Reconstruction of Android Malware Behaviors. In Proceedings of the 2015 Network and Distributed System Security Symposium (NDSS '15). The Internet Society, Reston, VA, USA.
2.Saracino, A., Sgandurra, D., Dini, G., & Martinelli, F. (2016). MADAM: Effective and Efficient Behavior-based Android Malware Detection and Prevention. IEEE Transactions on Dependable and Secure Computing, 13(1), 84-97. DOI: 10.1109/TDSC.2015.2406703
3.Arp, D., Spreitzenbarth, M., Hubner, M., Gascon, H., & Rieck, K. (2014). DREBIN: Effective and Explainable Detection of Android Malware in Your Pocket. In Proceedings of the Annual Symposium on Network and Distributed System Security (NDSS '14). The Internet Society.
4.Alzaylaee, M. K., Yerima, S. Y., & Sezer, S. (2018). AppScanner: Automatic Fingerprinting of Smartphone Apps from Encrypted Network Traffic. In Proceedings of the IEEE International Conference on Communications (ICC '18). IEEE, 1-6. DOI: 10.1109/ICC.2018.8422333
5.Huang, T., Zhao, X., & Xue, L. (2018). DeepGuard: Deep Learning-based Android Malware Detection. In Proceedings of the IEEE 42nd Annual Computer Software and Applications Conference (COMPSAC '18). IEEE, 194-203. DOI: 10.1109/COMPSAC.2018.00033
___________________________________________________________________
Науковий керівник: Терейковський Ігор Анатолійович, доктор технічних наук, професор, Національний технічний університет України «Київський політехнічний інститут ім. І.Сікорського»
|
Голосування 
Ця робота ліцензується відповідно до Creative Commons Attribution 4.0 International License
Знайшли помилку? Виділіть помилковий текст мишкою і натисніть Ctrl + Enter