Google, Google Play Koruma için polimorfizm kullanan kötü amaçlı uygulamaların tespitten kaçmasını zorlaştıran yeni, gerçek zamanlı tarama özelliklerini duyurdu.
Bu, tüm Android kullanıcıları için güvenliği artırmaya yönelik önemli bir adımı temsil ediyor ve platformdaki kötü amaçlı yazılım bulaşmasını azaltmayı amaçlıyor.
Gerçek zamanlı kod taramaları
Google’ın Play Koruma platformu, günlük 125 milyar taramadan elde edilen verilerle desteklenen, istenmeyen yazılımlara ve kötü amaçlı yazılımlara karşı cihaz üzerinde taramalar gerçekleştirmek için Android’in yerleşik koruma sistemidir.
Araç, Android’in resmi uygulama mağazası olan Google Play’den indirilen uygulamalar ve harici kaynaklardan ve üçüncü taraf uygulama mağazalarından indirilen APK’lar (Android paketleri) için çalışır.
Play Protect, bir uygulamada şüpheli bir şey tespit ettiğinde kullanıcıları uygulamanın kurulumuna devam etmemeleri konusunda uyarır.
Sorun, Google Play dışında tanıtılan kötü amaçlı uygulamaların yazarlarının, otomatik güvenlik platformlarını atlamak ve bu taramaları etkisiz hale getirmek için kötü amaçlı bir programdaki tanımlanabilir bilgileri sıklıkla değiştiren yapay zeka ve polimorfik kötü amaçlı yazılımlara başvurmasıdır.
Uygulamalar kullanıcının cihazına yüklendikten sonra harici bir kaynaktan ek kod alarak, onları durduracak hiçbir mekanizmanın bulunmadığı kontrol sonrası aşamada kötü amaçlı işlevlerini tamamlarlar.
Google, bu boşluğu gidermek için artık Play Koruma’yı kod düzeyinde gerçek zamanlı tarama yapma yeteneğiyle geliştirdi ve daha önce taranmamış uygulamalarda tarama yapılmasına yönelik bir öneri ekledi.
Tarama, uygulamadan davranışsal sinyaller çıkaracak ve bunları derinlemesine kod düzeyinde analiz için Play Koruma arka uç altyapısına göndererek uygulamanın güvenliğine ilişkin bir sonuç döndürecek.
Google bir basın bülteninde şöyle açıklıyor: “Güvenlik korumalarımız ve makine öğrenimi algoritmalarımız, incelenmek üzere Google’a gönderilen her uygulamadan öğreniyor ve binlerce sinyale bakıp uygulama davranışını karşılaştırıyoruz.”
“Google Play Koruma, belirlenen her uygulamayla birlikte sürekli olarak gelişiyor ve bu da tüm Android ekosistemine yönelik korumalarımızı güçlendirmemize olanak sağlıyor.”
Uygulamalar derlenmiş ikili dosyalar olarak dağıtıldığından, bu taramaların yazılımın kaynak kodunu analiz etmediğini, bunun yerine davranış düzeyinde analiz ettiğini açıklığa kavuşturmak önemlidir.
Geliştirilmiş Play Koruma tarayıcısı, kötü amaçlı aktiviteyi gösteren kalıpları belirlemek için sezgisel tarama ve makine öğreniminin yanı sıra statik ve dinamik analizden de yararlanacak. Uygulamadan elde edilen sinyaller, yapay zeka odaklı analiz için önemli girdiler görevi görüyor.
Bununla birlikte, kötü amaçlı kod indirilmeden veya başka davranışlardan önce uzun gecikmeler ekleyerek yeni sistemi aşabilecek bazı kötü amaçlı uygulamalar hâlâ mevcut olabilir.
Ancak, tespit edilemeyen kötü amaçlı yazılım miktarının, en azından kötü amaçlı yazılım yazarları tekniklerini bu taramaları kandıracak veya atlayacak şekilde ayarlayana kadar bu yeni sistem tarafından azaltılması gerekmektedir.
Google Play Protect’teki gerçek zamanlı kod düzeyinde tarama halihazırda Hindistan’da ve diğer seçili ülkelerde kullanıma sunuldu ve önümüzdeki aylarda kademeli olarak dünya çapında kullanıma sunulacak.
Play Protect, desteklenmeye devam ettiği sürece (Android 11 ve üzeri) cihazın Android sürümünden ve güvenlik yaması düzeyinden bağımsız olarak düzenli olarak güncellenen Google Play Hizmetlerinin bir parçasıdır. Bu, Google’ın aylık Android sürümünü beklemeden güncellenmiş kötü amaçlı yazılım tespitleri sunmasına olanak tanır.