Исследователи из университета штата Северная Каролина разработали новый инструмент для обнаружения рут-эксплойтов под Android.
Традиционным методом является автоматизированный запуск приложения в эмуляторе, анализ его работы и поиск аномалий. В таком случае поведение программы в эмуляторе сравнивается с эталонным поведением, типичным для программ подобного рода. В идеале, оно должно сравниваться с эталонным поведением конкретной программы. Поэтому исследователи призывают Google создать такую базу, а самих разработчиков приложений призывают пополнять ее образцами.
Кроме стандартной техники поиска аномалий, исследователи внедрили в программу Practical Root Exploit Containment (PREC) еще и детектор кода C. Дело в том, что именно этот язык программирования чаще всего используется в эксплойтах, но редко — для написания самих приложений, которые обычно выходят на Java.
«Поиск аномалий — не новый метод, но он традиционно сопровождается проблемами с большим количеством ложных срабатываний, — говорит д-р Уилл Энк (Will Enck), доцент информатики университета штата Северная Каролина и соавтор научной работы. — Наш подход отличается тем, что мы концентрируемся только на коде C, на котором написано большинство, если не все, эксплойты для Android». Такой подход позволяет значительно уменьшить количество ложных срабатываний и улучшить работу детектора.
Научная работа "PREC: Practical Root Exploit Containment for Android Devices" представлена на четвертой конференции ACM по безопасности и приватности данных и приложений, которая проходит 3-5 марта в Сан-Антонио (США).
