Ich entwickle Android eine App, um schädliche Apps zu erkennen. Wir planen, bösartige Apps basierend auf der angeforderten Berechtigung zu erkennen ..... wird die Erlaubnis allein uns helfen, bösartige Apps zu erkennen oder zu tun Wir müssen Eigenschaften wie die Verwendung von dynamischen Code, die Verwendung von statischen HTTP-URL betrachten .... jede Hilfe geschätzt. ...So identifizieren Sie eine bösartige Android-App
Ich werde diese Frage breakdonw ist mehrere smallwer Teile:
Aufspüren potenziell gefährlicher Anwendungen
Dies ist vielleicht der Harderst Teil in dem, was Sie sich wünschen zu tun. Die meisten Antivirenprogramme, Anti-Malware-Programme usw. durchsuchen normalerweise einen "Fußabdruck" im Quellcode der Binärdatei, die die Anweisungen generiert. Wenn Sie eine Anzahl über dem Schwellenwert von Footprints gefunden haben, können Sie vermuten, dass es sich bei der Datei um Malware handelt.
wir auf die gewünschte Erlaubnis
Ich werde sagen ausdrücklich basierte Schadprogramme zu erkennen, planen: nein ...
Soweit ich haben scheinen, die meisten „weird“ Anfragen, sind in der Regel aufgrund der Programmierer nicht vollständig verstehen, was die Erlaubnis gewährt, oder sogar warum/was notwendig ist.
Dies ist so sehr ein endemisch Problem, dass Google selbst, wie Berechtigungen Arbeit geändert wird (wenn ich mich nicht täuscht, von K bis L oder L bis M oder etwas in dieser Updates)
Dann wieder ein Alarm App, die Netzwerkzugriff will, will alle Dateien im System lesen, will alles irgendwo lesen/schreiben, will deine GPS benutzen, etc, dann sieht das wie Malware aus (und normalerweise würde kein READING-Benutzer es benutzen) .
müssen wir
Ja Eigenschaften wie Verwendung von dynamischen Code betrachten. Während Java selbst seinen Code nicht "on-the-fly" interpretieren kann, erlaubt DEX dies. Und die häufigsten Hijacks sind normalerweise Apps, die nichts tun, aber dann einen Einstiegspunkt erstellen, um JavaScript-Inhalt zu rendern und unerwarteten Code auszuführen.
Verwendung von statischen HTTP-URL
Das auf sich selbst nicht so viel Risiko ist, da die meisten Browser eine Sicherheitsnachweis fordern, und zumindest den Benutzer warnen, dass er auf ist nicht vertrauenswürdigen Netzwerk. Ein sekundäres Problem, das normalerweise auftritt, besteht darin, die URL "on-the-fly" zu erzeugen und dann eine leere Anfrage zu stellen, um ihre Anfrage dahingehend zu ändern.
Wenn eine App dann anfordert, dass webbasierter Inhalt das System umgeht (kein Sicherheitsproblem, macht der Programmierer manchmal "weniger Aufwand als nötig, um eine Clientanfrage zu erfüllen", dann statische Adressen oder sogar IPs haben normalerweise keinen signifikanten Sicherheitswert
Sir, wie "Fußabdruck" im Quellcode der Binärdatei eines suchen Android App, die die Anweisungen generiert? –
Ein "Fußabdruck" ist eine Sequenz von Bits und Bytes, die häufig in unerwünschten Programmen gefunden wird. Während sie selbst harmlos sind, implementiert eine Malware normalerweise einen Weg, wie der Code unerwünschte Anweisungen generiert. Zum Beispiel könnte eine 'JS (JavaScript)' Datei eine Reihe von Anweisungen enthalten, die eine Umleitung von Seitenanforderungen auswerten, deren "Fußabdruck" irgendeine Sequenz wäre, die zum Befehl der Umleitung führen würde, und (normalerweise) ein Weg um einen Wert auf eine Zeichenkette auszuwerten und so seinen wahren Zweck zu verbergen .... Die meisten Antiviren-Firmen sind "wert" durch ihr Kompendium und die Engine, die sie vorhersagen kann. – Bonatti
Ihre Frage scheint mehrdeutig 'Zurzeit kann ich eine Liste aller Berechtigungen bekommen' ... cool, aber was bedeutet das für die Frage?' Ich möchte auch wissen, ob es statisch ist http URL wird verwendet. Soweit ich weiß, können Sie dies nicht tun, es sei denn, Sie können für jeden String in jemandes Code überprüfen, dann prüfen, ob es geändert wird. 'Vorhandensein von dynamischem Code erkennen 'Welcher dynamische Code in welcher Sprache? Ein Skript ist immer dynamisch, eine Java-Klasse ist niemals dynamisch.DEX ist immer dynamisch, etc etc ... – Bonatti
Ok .... sir .... Ich habe die Frage korrigiert, bitte überprüfen .... –