Google agora analisa apps do Market contra malware
Colocando em prática uma importante medida há muito percebida como ausente, o Google anunciou que passou a analisar os apps enviados ao Android Market para buscar manter softwares maliciosos fora de lá.
O novo serviço roda scans contra malwares, trojans e spywares previamente conhecidos, e também executa os apps em um ambiente simulado para buscar detectar comportamentos suspeitos, eventualmente enviando o app para análise por um ser humano, se necessário.
O Google também está pensando em maneiras de passar a evitar que desenvolvedores responsáveis por malware continuem enviando apps ao Market.
O vice-presidente do Google que respondeu a perguntas sobre o assunto indicou que a situação dos malwares já vinha sendo mitigada há alguns meses: entre os 2 semestres de 2011, houve uma queda de 40% do número de downloads de apps potencialmente maliciosos no Market. Mas ele preferiu não responder quantos apps maliciosos foram identificados no Market pela nova ferramenta. (via osnews.com – “Google Now Scanning Android Apps for Malware”)
@brlinuxblog
Feed RSS
Agora vai! Se o Android, com esses problemas de malwares já vinha crescendo rapidamente, imaginem agora…
Pois é. E se o Google começou agora, é porque já vinha trabalhando nisso a um bom tempo
“há muito percebida como ausente”
Na verdade, segundo eles já estava em operação a muito tempo.
“O Google também está pensando em maneiras de passar a evitar que desenvolvedores responsáveis por malware continuem enviando apps ao Market”
Outra coisa que já está sendo feita faz algum tempo também, segundo eles.
Quem diria, agora o Linux tem um antivirus.
Será que eles vão analisar as atualizações feitas para os aplicativos existentes também? Senão, será possível alguém fazer um aplicativo sem malwares e, após aprovado, atualizar para uma versão contendo o malware.
Antivírus é um conceito inexato, @Daniel. “Vírus” é a descrição de um programa capaz de se auto-replicar e alojar-se em arquivos executáveis por todo sistema.
No caso do Linux, qualquer Linux, o conceito de “por todo o sistema” não se aplica, a menos que o vírus rode em uma conta de root. Ponto pro Linux.
“Worm” é um programa que não necessariamente é um vírus, mas é capaz de se espalhar pela rede conseguindo executar a si mesmo em outras máquinas, explorando vulnerabilidades de aplicativos de rede.
O que eu me lembro de ter lido a respeito é que o termo “Worm” nasceu no Unix. Um estudante de faculdade criou um programa para testar o conceito, aproveitando uma brecha no Sendmail, e “acidentalmente” infectou uma quantidade absurda de computadores em um único dia.
“Cavalo de Tróia” é um programa como outro qualquer, que não se replica nem infecta o sistema, mas tem em si “código espião” que envia os dados da vítima para fora.
“Exploit” é um código que explora alguma vulnerabilidade do sistema (geralmente “buffer overflow” ou “buffer overrun”: falhas de estouro ou esvaziamento de pilha) para conseguir rodar algum código com permissões de root.
“Invasão” é qualquer prática, por quaisquer meios, que um operador remoto pode usar para conseguir acesso ao sistema.
O Linux, qualquer Linux, pode ser vulnerável (como qualquer sistema operacional que exista ou venha a existir) a Cavalos de Tróia, ninguém nunca disse o contrário. Eles são aplicativos como outros quaisquer e se aproveitam da confiança que o usuário deposita neles.
Alguns aplicativos mal-testados rodando sobre o Linux podem ser vulneráveis a Worms e Exploits, mas o código aberto ajuda bastante a resolver o problema com agilidade.
O Linux é notavelmente resistente contra invasão e extremamente seguro contra vírus (nunca houve um “vírus” que tenha conquistado fama contra o Linux, não que eu saiba).
Finalmente, para se defender contra engenharia social é necessário inteligência, informação e atenção. Mercadoria que sempre foi um pouco cara…
Vírus, Worms e exploits são falhas sistêmicas e o Linux, qualquer Linux, tem se provado um dos sistemas mais resistentes a isso até hoje.
O resto é falha humana, e a qualidade do material humano varia muito.
Então não: o Linux não tem necessidade real de um “antivírus”. Mas existem outras ameaças além de vírus e elas são endereçadas por aplicativos de segurança, desde “mil novencentos e minha avó de calçolas”.
@Rodrigo H., aparentemente o sistema não analisa “aplicativos” e sim “uploads” de forma geral, na ocasião do upload em si.
Só seria possível, nesse caso, burlar o sistema se fosse possível colocar a atualização lá sem passar pela ferramenta de upload. E, provavelmente, não tem como fazer isso (seria muita ingenuidade não cercar essa possibilidade).
O método é parcialmente falho, se for só usado analise de código já usado (olá, 0 days) é algo muito primário. Analise live automatizada sempre pode esbarrar no código perceber a emulação da plataforma e se desligar, passando por bonzinho.
Mas, apesar dos pontos fracos, um bom avanço. A principal pergunta que fica é: só agora? Qual o motivo?
@Porfídio, no Windows é possível modificar arquivos do sistema como usuário padrão?
Como o Google controla a Dalvik e o ambiente não é tão diverso como um desktop, digamos, não deve ser complicado analizar na profundidade o comportamento de um aplicativo.
Além disso, ainda podem estabelecer políticas mais simples, no estilo de questionar, ou dar um aviso extra ao usuário quando por exemplo um jogo requisitar direitos para ver a agenda telefônica. Ou outros comportamentos estranhos.
Weber, é um pouco complicado. Principalmente usando live analysis. O Malware pode somente não fazer nada, quando perceber que está em um emulador. Isso pode invalidar os processos e deixar passar algum malware.
Spif
“O Malware pode somente não fazer nada, quando perceber que está em um emulador.”
Se detectar, não vão ser todos. E é uma preocupação nova, então os sacanas ainda não estão preparados.
E você que disse que vai ser feito somente em emuladores. Plenamente plausível que em grande volume testem em ambiente virtualizado, mas usem tenham dispositivos físicos.
E eu falava somente de análise de código estático também.
Mais ou menos weber. Isso é uma pratica comum nos malpares para pc.
Malwares, desculpem.
Existe uma coisinha chamada “escalada de privilégios”. Você pode rodar um programinha malvado usando uma conta guest, que somente possa escrever em lugar nenhum, e mesmo assim ele consegue privilégios de root. Ponto a menos para qualquer sistema. Se um programa malicioso fosse obedecer regras, não seria malicioso.
@Porfírio, sua definição de “cavalo de tróia” me parece errada, isso que vc nomeou no lugar é um “Spyware”, para classificar como “cavalo de tróia” o programa malicioso deve abrir uma porta para um invasor ou implementar alguma forma de controle remoto do alvo, sem que o usuário do alvo saiba, logicamente.