游客

谷歌公布新算法:识别潜在的恶意安卓应用

游客 2017-01-22 18:24:05    200883 次浏览

为了解决安卓系统的安全问题,谷歌自 Android 4.2 开始就在所有设备的 Google Play 中集成了 Verify Apps 解决方案。Verify Apps 能够检测潜在的有害应用 PHAs(Potential Harmful Apps)。当检测到 PHAs 时,Verify Apps 会警告用户,提醒他们卸载软件。

不过,现在有些应用已经可以绕过 Verify Apps 的检测。近日,在 Android Developers 的博客里,谷歌公布了最新的解决办法,在 Verify Apps 失效的情况下也能检测出 PHAs。

基本原理就是:如果一台设备的 Verify Apps 功能停止工作,那么这台设备就会被认为是 Dead or Insecure(死亡或者不安全,简称 DOI)。在这些 DOI 设备里,某个应用出现的概率超过某个上限,那么这个应用就被认为是 DOI 应用。谷歌使用 DOI 标准以及其他的安全系统来决定这个程序是不是 PHA。

以下是谷歌公布的计算公式:

谷歌公布新算法:识别潜在的恶意安卓应用

N=下载该应用的设备数量

x=下载并保留该应用的设备数量

p=一台设备下载任意应用并保留的概率

如果Z指数远远低于-3.7,那么说明这个应用的低保留率与这个应用的用途无关。谷歌做了一个 DOI 榜单,他们将 DOI 指数和其他信息结合起来,来判断这个应用是不是 PHA。如果是,就会通过 Verify Apps 来移除这个应用,并阻止用户安装。

谷歌公布新算法:识别潜在的恶意安卓应用

据了解,DOI 目前已经成功标记了很多属于 Hummingbad,Ghost Push 以及 Gooligan 三大家族的恶意软件。通过这种方法,谷歌希望能够提前探测出 PAHs,防止它们大规模的传播。

内容加载中