Исследователи из университета штата Северная Каролина разработали новый инструмент для обнаружения рут-эксплойтов под Android.

Традиционным методом является автоматизированный запуск приложения в эмуляторе, анализ его работы и поиск аномалий. В таком случае поведение программы в эмуляторе сравнивается с эталонным поведением, типичным для программ подобного рода. В идеале, оно должно сравниваться с эталонным поведением конкретной программы. Поэтому исследователи призывают Google создать такую базу, а самих разработчиков приложений призывают пополнять ее образцами.

Кроме стандартной техники поиска аномалий, исследователи внедрили в программу Practical Root Exploit Containment (PREC) еще и детектор кода C. Дело в том, что именно этот язык программирования чаще всего используется в эксплойтах, но редко — для написания самих приложений, которые обычно выходят на Java.

«Поиск аномалий — не новый метод, но он традиционно сопровождается проблемами с большим количеством ложных срабатываний, — говорит д-р Уилл Энк (Will Enck), доцент информатики университета штата Северная Каролина и соавтор научной работы. — Наш подход отличается тем, что мы концентрируемся только на коде C, на котором написано большинство, если не все, эксплойты для Android». Такой подход позволяет значительно уменьшить количество ложных срабатываний и улучшить работу детектора.

Научная работа «PREC: Practical Root Exploit Containment for Android Devices» представлена на четвертой конференции ACM по безопасности и приватности данных и приложений, которая проходит 3-5 марта в Сан-Антонио (США).

Оставить мнение