Перейти к содержанию
AM_Bot

В Android появится фирменный антивирус

Recommended Posts

AM_Bot

300C053n-zh.jpgПо информации специалистов сайта Android Police, детально разобравших новую версию клиентского приложения Play Маркет, уже в ближайшем будущем мобильная платформа Android может получить фирменный локальный антивирус. В сочетании с серверной системой Bouncer, которая фильтрует программы в магазине приложений, этот новый антивирус может значительно улучшить ситуацию с защищенностью Android-устройств от вредоносного кода из любого источника.

подробнее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Ну что, скоро сегмент антивирусов для Android можно будет похоронить и спокойно заняться антивором, антиспамом и т.п.?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Ну что, скоро сегмент антивирусов для Android можно будет похоронить и спокойно заняться антивором, антиспамом и т.п.?

Пусть хотя бы в паблик выйдет - можно будет погонять на наличествующих коллекциях семплов под Android и чистых приложений на предмет возможных ложных срабатываний - а там уже делать какие-то выводы. Хотя бы предварительные.

-----

антивор и антиспам -- это подарочные брелоки-фонарики на связку ключей при покупке пачки контрацептивов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Растащили новость по всем ресурсам, хотя когда я ее читал в каком-то зарубежном блоге, там было сказано: "возможно". И все описание крутилось вокруг того, что возможно, может быть.

антивор и антиспам -- это подарочные брелоки-фонарики на связку ключей при покупке пачки контрацептивов.

Никогда не дарили :( Только брелоки-кондомы, в смысле уменьшенные копии самих кондомов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sia88

Это как с Майкрософт: мы как бы пишем Windows и как бы знаем лучше наши дыры и ПОЭТОМУ MSE как бы решает вопрос безопасности. (основная мысль в пользу MSE на тренингах для консультантов в retail) :facepalm:

Bouncer уже "работает" :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Viktor
Ну что, скоро сегмент антивирусов для Android можно будет похоронить и спокойно заняться антивором, антиспамом и т.п.?

Смущает то, что у Google нет экспертизы в антивирусах, VirusTotal тоже полезен только как сервис.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Viktor

Продолжение истории:

Inside Android 4.2's powerful new security system

- the new scanning service is completely opt-in: The first time you install an app from a source other than the Play Store -- including a third-party app market like Amazon's app store -- Android pops up a box asking if you want such applications to be checked for "harmful behavior."

- Accompanying the system is a new and improved app permissions screen -- the screen that shows up anytime you install an app from outside of the Play Store. The new Android 4.2-level screen is cleaned up and far easier to read than what we've seen in the past

-Android 4.2 has an added behind-the-scenes feature that alerts you anytime an app attempts to send a text message that could cost you money. If an app tries to send an SMS to a known fee-collecting short code

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Проверка на "опасное поведение" требует подключения к интернет скорее всего? Если так, то получается, что это некоторый облачный сканер + простенький поведенческий анализатор. По большему счету этого достаточно для базового уровня.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Viktor
Проверка на "опасное поведение" требует подключения к интернет скорее всего?

Думаю, что так, движка-то у них пока своего нет... И тут поднимается вопрос перескана. Одно дело - проверить при установке в облаке по известным хэшам, а другое - встроить полноценный движок, работающий в риалтайме

+ простенький поведенческий анализатор

Имхо, до анализатора пока может не дойти

Вот, кстати, пишут, что VirusTotal тут не при чем:

Lockheimer tells me the new functionality is not related to Google's recent acquisition of VirusTotal, a startup focused on online malware scanning; rather, it's based completely on the app-scanning technology announced for the Play Store back in February.)

Ну да, конечно, чистая правда :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Думаю, что так, движка-то у них пока своего нет... И тут поднимается вопрос перескана. Одно дело - проверить при установке в облаке по известным хэшам, а другое - встроить полноценный движок, работающий в риалтайме

Чисто гипотетически. Возможен ли отзыв установленного приложения у пользователя? Предположим, что приложение потеряло статус доверенного и сам Google признал его вредоносным нежелательным. Далее через обновления приходит алерт и предложение удалить опасную программу. Вариант?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Viktor
Чисто гипотетически. Возможен ли отзыв установленного приложения у пользователя? Предположим, что приложение потеряло статус доверенного и сам Google признал его вредоносным нежелательным. Далее через обновления приходит алерт и предложение удалить опасную программу. Вариант?

Не просто можно, такой функционал у них уже есть, причем довольно давно. Google может снести любое приложение, установленое из Google Play у любого пользователя

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вадим Волков
Google может снести любое приложение, установленое из Google Play у любого пользователя

Даже если у пользователя установлено, что обновления проходят только вручную? Т.е. понятно, что может и в этом случае, но всё же на практике игнорирует пользовательские настройки?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Обновления непричем. Гугл просто посылает типа unistall %pakagename% и приложение удаляется. Не обновляется :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Не просто можно, такой функционал у них уже есть, причем довольно давно. Google может снести любое приложение, установленое из Google Play у любого пользователя

Вот и все тогда. Пазл сложился. Чего им еще то нужно? Проверили приложение сначала один раз. Если ОК - разрешили работать. Далее понаблюдали в процессе работы (опционально, пока не реализовано). Далее, если вдруг стало НЕ ОК - посносили как вредоносное.

А главное никакой проверки в реалтайме, которая жрет ресурсы и сажает батарею.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Viktor
Вот и все тогда. Пазл сложился. Чего им еще то нужно? Проверили приложение сначала один раз. Если ОК - разрешили работать. Далее понаблюдали в процессе работы (опционально, пока не реализовано). Далее, если вдруг стало НЕ ОК - посносили как вредоносное.

А главное никакой проверки в реалтайме, которая жрет ресурсы и сажает батарею.

Я не уверен, что они могут снести приложение, установленное не из Google Play. Сейчас их концепция в том, что в Google Play есть AV и он безопасен, а защитить своим фирменным AV они хотят тех, кто ставит ПО из других источников

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Гугл просто посылает типа unistall %pakagename% и приложение удаляется. Не обновляется

Они все предусмотрели похоже, можно только порадоваться за инженеров Google. Только не идет ли это в разрез с лицензионным соглашением? Допустим я купил приложение за 100 рублей, меня оно устраивается, мне не важно, что в нем есть какие-то скрытые функции. А потом вдруг приходит запрос и приложение исчезает. Резонные вопросы: "WTF и где мои деньги"?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mike 1

Интересно когда удалят это. приложение из Google Play? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Viktor
Интересно когда удалят это.. приложение из Google Play? :)

А антивирусами оно детектится? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Они все предусмотрели похоже, можно только порадоваться за инженеров Google. Только не идет ли это в разрез с лицензионным соглашением? Допустим я купил приложение за 100 рублей, меня оно устраивается, мне не важно, что в нем есть какие-то скрытые функции. А потом вдруг приходит запрос и приложение исчезает. Резонные вопросы: "WTF и где мои деньги"?

1. Об удалении было известно давно. По-моему в ЛС это оговорено было, когда я его вычитывал. Не берусь утверждать, что это не ложная память.

2. Это ты уже с ТП будешь решать. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Viktor

Продолжение истории - первый тест втроенного в Android антивируса.

Android's on-board malware scanner utterly FAILS: App blocker detects just 15% of malware:

http://www.theregister.co.uk/2012/12/10/an..._scanner_fails/

Полный провал...

av.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      В Инфо. указывать не только время создания\изменения файла но и время создания... Пример:  Система Установлена 2018  > Каталог создан в 2020, а файл в каталоге  2021  
    • santy
      как только заработает функция "выполнить запрос по критерию" - все отфильтрованные объекты будут на виду у оператора, и скорее всего, помещены в отдельную категорию. Кстати, всех участников данного форума (помимо проходящих мимо спамеров) поздравляю с Новым 2021 годом!
    • PR55.RP55
      1) Добавить в settings.ini  настройку: "Выделять все неизвестные ЭЦП" Таким образом все ЭЦП которых нет в базе:  wdsl будут на виду. Это  позволит пополнять базу wdsl и сразу акцентировать внимание оператора. 2) Добавить в settings.ini  настройку: Все файлы с неизвестной ЭЦП  помечать, как подозрительные. Или создать отдельную категорию: "Неизвестные ЭЦП" 3) В Инфо. файла помещать информацию типа: Действительна, подписано CAVANAGH NETS LIMITED Найдено файлов: 1 wdsl   [ - ] --------------- Действительна, подписано Mozilla Corporation Найдено файлов: 80 wdsl   [ + ]  
    • PR55.RP55
      1) При срабатывании критерия выделять не всю строку, а только вхождение\результат. Пример: C:\USERS\HOME\APPDATA\ROAMING\MICROSOFT\ADMODNETW4B8\ADNEKMOD8B4.DLL C:\USERS\HOME\APPDATA\ROAMING\MICROSOFT\ADMODNETW4B8\ADNEKMOD8B4.DLL 2) Команду: Архивировать Zoo  добавить и  в меню файла. Если оператор работает с одним файлом - ему не нужно будет метаться по всей программе. Когда группа файлов - тогда, да удобно применить одну команду. Но когда файл один... 3) В Инфо. файла прописывать единственный это файл каталога, или нет. Примерно так: FC:  1 > ADNEKMOD8B4.DLL FC:  5 > Uninstall.exe;  Menu.exe;  MenuDLL.dll;  9z.dll;  Com.bat ; 4) При совпадении пути до файла: PROGRAM FILES ; PROGRAM FILES (X86) с одной из установленных программ. Писать в Инфо.:  C:\PROGRAM FILES (X86)\AIMP3\AIMP3.EXE Программа найдена: C:\Program Files (x86)\AIMP3\Uninstall.exe
    • PR55.RP55
      В связи с переходом угроз для: BIOS\UEFI из теории в реальность... Предлагаю создать отдельную программу для: Копирования\Восстановления; Просмотра; Просмотра info; Передачи на V.T; Расчёта SHA1 Замены прошивки на: https://www.anti-malware.ru/analytics/Market_Analysis/SDZ-MDZ-russia-market-overview и интеграцию с uVS    
×