گوگل از هکرها رودست خورد

چندی پیش گوگل اعلام كرد كه یک پروسه اسكن خودكار ایجاد كرده است كه برای دور نگه داشتن برنامه های خرابكار از فروشگاه اندروید ایجاد شده است. به گفته مدیر مهندسی گروه اندروید، این سرویس جدید كه Bouncer نام دارد، برنامه ها را در مورد بدافزارها، جاسوس افزارها و تروجان‌ های شناخته شده اسكن كرده و به دنبال رفتارهای مشكوک می‌ گردد و آنها را با برنامه هایی كه پیش ‌تر تحلیل شده اند مقایسه می‌ نماید. به گفته وی، سپس هر برنامه بر روی زیرساخت ابری گوگل اجرا می‌ گردد تا با شبیه سازی مشخص گردد كه هر برنامه چگونه بر روی یک دستگاه اندروید كار می ‌كند. برنامه های موجود نیز همزمان مورد تحلیل قرار می‌ گیرند.

این سیستم برنامه ای را كه آپلود شده است گرفته و آن را در ابر اجرا می ‌نماید و كاری را كه برنامه انجام می‌ دهد در یک محیط مجازی مورد نظارت قرار می ‌دهد. اگر كد یا رفتار خرابكاری تشخیص داده شود، این برنامه به عنوان بدافزار برای بررسی دستی علامت گذاری می ‌گردد. اگر برنامه به صورت واضح خرابكار تشخیص داده شود، ممكن است از بارگذاری آن جلوگیری گردد، همچنین اگر یک برنامه توسط پروسه اسكن كننده به عنوان بدافزار علامت گذاری گردد، بلافاصله حذف می‌گردد. اگر برنامه ای یک نمونه از یک بدافزار شناخته شده باشد، اصلا بارگذاری نخواهد شد.

بر خلاف Apple كه هر برنامه iPhone را پیش از ورود به فروشگاه iTunes بررسی می ‌كند، گوگل برای برنامه های اندروید نیاز به مجوز ورود ندارد. بلكه این شركت كار غربالگری برنامه ها را زمانی انجام می ‌دهد كه ایجاد كنندگان برنامه آن را بر روی فروشگاه اندروید بارگذاری كرده باشند. گوگل همچنین حساب ‌های تولید كنندگان جدید برنامه ها را مورد بررسی قرار می ‌دهد تا از ورود یا بازگشت برنامه نویسان خرابكار جلوگیری نماید. حائز اهمیت آنکه، گوگل بدون سر و صدا اقدام به تست Bouncer برای چند ماه كرده و تاثیر آن را مشاهده كرده. به گفته این شركت، بین نیمه اول و دوم 2011، حدود 40 درصد در تعداد دانلودهای برنامه های خرابكار كاهش وجود داشته است. البته معلوم نیست چه تعداد برنامه خرابكار در نتیجه این بررسی‌ ها مسدود شده یا از فروشگاه اندروید حذف شده اند. شركت امنیت موبایل Lookout اعلام كرده بود كه حدود 1000 برنامه خرابكار اندروید سال گذشته شناسایی شدند، اما بخش عمده آنها بر روی سایت ‌های غیررسمی قرار داشتند. ولی برخی برنامه های خرابكار نیز به فروشگاه اندروید راه یافته بودند.

با تمام این جریان ها، اخیرا و بنا به گفته محققان امنیتی هكرها می ‌توانند از سد امنیتی  Bouncer، پویشگر بدافزار گوگل گذر كرده و برنامه های خرابكار را بر روی فروشگاه اندروید بارگذاری نمایند. اخیرا چندین محقق امنیتی به راحتی توانستند از سد پویشگر بدافزار اندروید كه Bouncer نام دارد و گوگل از آن برای بررسی نرم‌ افزارهایی كه بر روی Google Play Android Market  بارگذاری می‌ شوند، گذر کنند.

دو محقق امنیتی به نام ‌های Jon Oberheide و Charlie Miller به چندین روش نشان داده‌ اند كه چگونه یک بدافزار می‌ تواند بعد از اینكه متوجه شد گوگل چه زمانی به بازرسی آن می‌ پردازد، هدف اصلی خود را مخفی كند. در ماه فوریه بود كه گوگل اعلام كرد از سرویسی كه مهندسان خودش آن را ایجاد كرده‌ اند، برای مرور همه برنامه‌ های كاربردی كه بر روی فروشگاه اندروید جهت دریافت یا فروش قرار می ‌گیرند، استفاده می ‌كند. این سرویس نشانه‌ های بدافزار را بر روی برنامه‌ های كاربردی تشخیص می ‌دهد. بنا بر توضیحات گوگل، Bouncer  هر برنامه جدید را درون شبیه ساز اندروید اجرا كرده و رفتار آن را تحلیل می‌ كند.

البته زمان زیادی است كه برنامه‌ های آنتی ‌ویروس از محیط‌ های شبیه ‌سازی شده و یا محیط‌ های مجازی برای اجرا كردن بدافزارها و مطالعه ی رفتار آنها استفاده می ‌كنند و به همین جهت بدافزارهای جدید به شیوه‌ ای طراحی شده‌ اند كه در صورتی كه تشخیص دهند در محیط‌ های مجازی و یا شبیه‌ سازی شده هستند رفتار خود را تغییر می ‌دهند. محققان امنیتی مذكور نیز از همین شیوه برای گذر از سد Bouncer استفاده كرده ‌اند. بدافزار آزمایشی آنها زمانی كه تشخیص می دهد در محیط  Bouncer است، هیچ واكنشی از خود بروز نمی دهد ولی زمانی كه خود را در محیط گوشی قربانی بیابد، ریشه اصلی بدافزار خود را از سرور دریافت می كند.