O Google solicita ajuda externa para limpar a bagunça de malware do Android

13

Ron Amadeo

O Android tem um pouco de um problema de malware. A flexibilidade do ecossistema aberto também o torna relativamente fácil para aplicativos contaminados circular em lojas de aplicativos de terceiros ou sites maliciosos. Pior ainda, aplicativos controlados por malware infiltrar-se a Play Store oficial com frequência decepcionante. Depois de lidar com o problema por uma década, o Google está pedindo alguns reforços.

Nesta semana, o Google anunciou uma parceria com três empresas de antivírus – ESET, Lookout e Zimperium – para criar uma App Defense Alliance. Todas as três empresas fizeram uma extensa pesquisa de malware para Android ao longo dos anos e têm relacionamentos existentes com o Google para relatar problemas encontrados. Mas agora eles usarão suas ferramentas de varredura e detecção de ameaças para avaliar novos envios do Google Play antes que os aplicativos sejam lançados – com o objetivo de capturar mais malware antes que ele atinja a Play Store.

"No lado do malware, não temos realmente uma maneira de escalar o tamanho que queremos", diz Dave Kleidermacher, vice-presidente de segurança e privacidade do Android do Google. "O que a App Defense Alliance nos permite fazer é levar a abordagem de ecossistema aberto para o próximo nível. Podemos compartilhar informações não apenas ad hoc, mas realmente integrar mecanismos juntos no nível digital, para que possamos ter resposta em tempo real, expanda a revisão desses aplicativos e aplique-a para tornar os usuários mais protegidos ".

Não é sempre que você ouve alguém no Google – uma empresa de tamanho e escopo aparentemente ilimitados – falando sobre problemas ao operar um programa na escala necessária.

Cada fornecedor de antivírus da aliança oferece uma abordagem diferente para verificar arquivos de aplicativos chamados binários em busca de sinais vermelhos. As empresas estão procurando qualquer coisa, desde cavalos de Troia, adware e ransomware a malwares bancários ou até campanhas de phishing. O mecanismo da ESET usa um repositório baseado em nuvem de binários maliciosos conhecidos, juntamente com análise de padrões e outros sinais para avaliar aplicativos. O Lookout possui um total de 80 milhões de binários e telemetria de aplicativos que ele usa para extrapolar possíveis atividades maliciosas. E o Zimperium usa um mecanismo de aprendizado de máquina para criar um perfil de comportamento potencialmente ruim. Como produto comercial, o scanner do Zimperium trabalha no próprio dispositivo para análise e correção, em vez de depender da nuvem. Para o Google, a empresa basicamente dará um sim ou não rápido para determinar se os aplicativos precisam ser examinados individualmente quanto a malware.

Como Tony Anscombe, embaixador da ESET em parcerias com a indústria, "fazer parte de um projeto como este com a equipe do Android nos permite realmente começar a proteger na fonte. É muito melhor do que tentar limpar depois".

A configuração desses sistemas para verificar novos envios do Google Play não era conceitualmente difícil – tudo é executado por meio de uma interface de programação de aplicativos criada para esse fim. O desafio foi adaptar os scanners para garantir que eles pudessem lidar com a mangueira de incêndio de aplicativos que serão analisados ​​- provavelmente muitos milhares por dia. A ESET já se integra à remoção de malware do Google Ferramenta de limpeza do Chromee fez parceria com Empresa de cibersegurança de propriedade do alfabeto Chronicle. Mas todas as empresas membros da App Defense Alliance disseram que o processo para criar a infraestrutura necessária era extenso, e as primeiras sementes da aliança começaram mais de dois anos atrás.

"O Google reduziu os fornecedores com os quais eles desejavam se envolver e todos fizeram uma prova de conceito bastante elaborada para ver se há algum benefício adicional e se encontrarmos mais coisas ruins juntas do que qualquer um de nós possa independentemente", diz o CEO da Lookout. Jim Dolce. "Estávamos compartilhando dados durante um período de um mês – milhões de binários efetivamente. E os resultados foram muito positivos".

Resta ver se a aliança realmente capturará significativamente mais aplicativos maliciosos antes de chegarem ao Google Play do que a empresa estava sinalizando sozinha. Pesquisadores independentes descobriram que muitos serviços de antivírus para Android não são particularmente eficazes na captura de malware. E todos os membros da aliança enfatizam que aumentar a defesa do Google Play apenas levará os autores de malware a serem ainda mais criativos e agressivos na distribuição de aplicativos contaminados por outros meios. (Não esqueça que todas essas empresas possuem scanners de malware que desejam vender para você.) Mas Kleidermacher, do Google, enfatiza que a empresa está confiante de que a aliança fará uma diferença real na proteção dos usuários do Android.

"Quando você está na escala massiva que temos nessas plataformas, é possível obter uma melhoria incremental de até 1%", diz ele.

Mais empresas obtendo acesso aos envios do Google Play também aumentam a possibilidade de hackers procurarem vulnerabilidades no próprio pipeline da Play Store. Mas Kleidermacher observa que o Google tem contratos rigorosos com todos os seus fornecedores que cobrem não apenas a carga de análise que eles lidam no dia a dia, mas também como protegem os dados e usam a API especial.

"Temos um acordo em vigor e existem expectativas sobre nós como fornecedores", diz Jon Paterson, diretor de tecnologia da Zimperium.

Embora não haja garantias de que o programa cause problemas no malware do Google Play, parece que vale a pena tentar, pois a triagem e o monitoramento de aplicativos são uma desafio mesmo para o mais rigoroso lojas de aplicativos, seja do Google ou da Apple ou ofertas governamentais dedicadas. Com 2,5 bilhões de dispositivos Android no mundo – e um problema que ainda não resolveu por conta própria – o Google não tem muito a perder ao pedir uma pequena ajuda de seus amigos.

Esta história apareceu originalmente em wired.com.

Fonte: Ars Technica