Rosszindulatú program

Rosszindulatú programokra vonatkozó irányelvünk egyszerű: az Android ökoszisztémája – a Google Play Áruházzal együtt – és a felhasználók eszközei legyenek mentesek mindennemű kártékony viselkedéstől (azaz rosszindulatú programtól). Ezzel az alapelvvel arra törekszünk, hogy biztonságos Android-ökoszisztémát nyújthassunk felhasználóinknak és androidos eszközeiknek.

Rosszindulatú programnak tekintendő minden olyan kód, amely veszélynek teszi ki a felhasználót, a felhasználó adatait vagy a felhasználó eszközét. A rosszindulatú programok közé tartoznak (többek között) az olyan potenciálisan kártékony alkalmazások, futtatható állományok és keretrendszer-módosítások, amelyek például trójai kártevőket, adathalász kísérleteket és kémprogramokat rejtenek. A rosszindulatú programok kategóriáit folyamatosan bővítjük.

A rosszindulatú programok típusuk és képességeik szerint sokfélék lehetnek, de céljaik általában a következők valamelyike:

  • A felhasználói eszköz integritásának károsítása.
  • A felhasználó eszköze feletti irányítás megszerzése.
  • Olyan, távolról irányított műveletek végrehajtásának lehetővé tétele, amelyekkel a támadó hozzáférést kaphat a fertőzött eszközhöz, majd az eszközt irányíthatja, vagy más módon kihasználhatja.
  • Személyes vagy hitelesítési adatok továbbítása az eszközről megfelelő tájékoztatás nyújtása és beleegyezés kérése nélkül.
  • Spam vagy parancsok terjesztése a fertőzött eszközről más eszközökre vagy hálózatokra.
  • A felhasználó megtévesztése és megkárosítása.

Az alkalmazások, futtatható állományok és keretrendszer-módosítások potenciálisan kártékonyak lehetnek – azaz rosszindulatú viselkedést tanúsíthatnak – még akkor is, ha nem rosszindulatú céllal készültek. Ennek oka, hogy az alkalmazások, a futtatható állományok és a keretrendszer-módosítások számos tényezőtől függően sokféle módon működhetnek. Tehát ami az egyik Android-eszközön kártékony, a másikon teljesen ártalmatlan lehet. Például az Android legújabb verzióját futtató eszközökre nem jelentenek veszélyt azok az alkalmazások, amelyek elavult API-k használata miatt kártékony viselkedésre vehetők rá, de a sokkal régebbi Androidot futtató eszközök veszélyben lehetnek. Az alkalmazásokat, a futtatható állományokat és a keretrendszer-módosításokat rosszindulatú programként vagy potenciálisan kártékony alkalmazásként (PHA) jelöljük, ha egyértelműen veszélyt jelentenek az Android-eszközöknek és a felhasználóknak akár csak egy kis részére is.

Lentebb különböző típusú rosszindulatú programokat mutatunk be. Ezt két fő okból tesszük: egyrészt azért, mert meggyőződésünk, hogy a felhasználóknak érdemes tisztában lenniük azzal, hogy eszközeiket miként használhatják ki az esetleges támadók, másrészt pedig azért, hogy ezzel is támogassuk az átfogó innovációt és megbízható felhasználói élményt nyújtó, biztonságos ökoszisztéma kialakulását.

További információt a Google Play Protect webhelyén találsz.

AZ ÖSSZES ÖSSZECSUKÁSA AZ ÖSSZES KIBONTÁSA

 

Hátsó ajtó

Olyan kód, amely kéretlen, potenciálisan kártékony vagy távolról irányított műveletek végrehajtását teszi lehetővé az eszközön.

Azok a műveletek is ide tartozhatnak, amelyek az alkalmazást, a futtatható állományt vagy a keretrendszer-módosítást a rosszindulatú programok más kategóriájába sorolnák, ha végrehajtásuk automatikus lenne. A hátsó ajtó kifejezés általában arra vonatkozik, hogy a potenciálisan kártékony művelet hogyan történhet meg az eszközön, ezért nem teljesen hasonlítható olyan kategóriákhoz, mint a számlázási csalás vagy a kereskedelmi kémprogramok. A Google Play Protect emiatt bizonyos esetekben sebezhetőségként kezel egyes hátsó ajtókat.

 
 

 

Számlázási csalás

Olyan kód, amely szándékosan csalárd módon és automatikusan terheli meg a felhasználó fizetési módját.

A mobilszámlázási csalásnak három fajtája van: SMS-sel elkövetett, hívással elkövetett, illetve előfizetéses.

SMS-sel elkövetett csalás
Olyan kód, amely a felhasználó beleegyezése nélkül emelt díjas SMS-eket küld, vagy úgy próbálja meg leplezni SMS-küldési tevékenységét, hogy elrejti azokat a beleegyezési nyilatkozatokat vagy SMS-eket a felhasználó elől, amelyekben a mobilszolgáltató értesíti a felhasználót a terhelésekről vagy az előfizetések elfogadásáról.

Bizonyos kódok, még ha gyakorlatilag tájékoztatást is adnak az SMS-küldési viselkedésükről, egyéb viselkedést is megvalósítanak, amely kimeríti az SMS-sel elkövetett csalás fogalmát. Ilyen például, ha a kód olvashatatlanná teszi, elrejti a beleegyezési nyilatkozat egyes részeit a felhasználó elől, vagy ha bizonyos feltételek teljesülése esetén elrejti a mobilszolgáltatótól érkező olyan üzeneteket, amelyek tájékoztatnák a felhasználót a terhelésekről vagy az előfizetések elfogadásáról.

Hívással elkövetett csalás
Olyan kód, amely azzal terheli meg a felhasználók fizetési módját, hogy emelt díjas számokat hív a felhasználók beleegyezése nélkül.

Előfizetéses csalás
Olyan kód, amely ráveszi a felhasználókat arra, hogy mobilszámlájuk terhére előfizetést indítsanak, vagy vásárlást hajtsanak végre.

Előfizetéses csalásnak minősül minden mobilfizetéses csalás, amely nem emelt díjas SMS vagy hívás formáját ölti. Ilyen például a közvetlen mobilszámlázással való visszaélés, valamint a vezeték nélküli hozzáférési pontok (WAP) és a mobilinternet engedély nélküli használata. A WAP-csalás az egyik leggyakoribb előfizetéses csalás. WAP-csalás lehet például az is, ha a felhasználókat ráveszik, hogy egy észrevétlenül betöltött, átlátszó WebView-ra kattintsanak. Kattintás után a rendszer megújuló előfizetést kezdeményez, a támadó pedig gyakran eltéríti a visszaigazoló SMS-t vagy e-mailt, hogy a felhasználó ne vegye észre a pénzügyi tranzakciót.

 

 

Stalkerware

Olyan kód, amely megfelelő tájékoztatás nyújtása vagy beleegyezés kérése nélkül személyes és bizalmas adatokat gyűjt és/vagy továbbít az eszközről, és nem jelenít meg folyamatosan látható értesítést erről a folyamatról.

A stalkerware alkalmazások oly módon célozzák meg az eszközök felhasználóit, hogy monitorozzák a személyes és bizalmas adataikat, majd továbbítják vagy elérhetővé teszik harmadik felek számára.

Az alkalmazásokat kifejezetten szülőknek készítették, hogy nyomon követhessék gyermekeik tevékenységeit, de vállalati felügyelethez is használhatók, feltéve, hogy teljes mértékben megfelelnek a megfigyelési alkalmazásokra vonatkozó alábbi követelményeknek. Ezekkel az alkalmazásokkal mások (például házastárs) nem követhető nyomon, még a tudtukkal és a hozzájárulásokkal sem, függetlenül attól, egy folyamatosan látható értesítés jelenik meg.

Azoknak a Play Áruházban terjesztett nem stalkerware alkalmazásoknak, amelyek a felhasználó viselkedését kísérik figyelemmel az eszközön, meg kell felelniük legalább az alábbi követelményeknek:

  • Nem tüntethetik fel magukat kémkedést vagy titkos megfigyelést elősegítő megoldásként.
  • Nem rejthetik el vagy álcázhatják a követési tevékenységüket, és nem vezethetik félre a felhasználókat az ilyen jellegű működésükkel kapcsolatban.
  • Az alkalmazásoknak működés közben egy folyamatosan látható értesítést és ikont kell megjeleníteni, amely alapján egyértelműen beazonosítható az adott alkalmazás.
  • A Google Playen található alkalmazások és áruházi adatlapjaik nem adhatnak módot olyan funkciók aktiválására vagy elérésére, amelyek sértik ezeket a feltételeket. Ilyen például a Google Playen kívül tárolt, nem megfelelő APK-ra mutató hivatkozás.
  • Teljes mértékben az Ön feladata, hogy megállapítsa az alkalmazás jogszerűségét az adott helyszínen. Ha egy közzétett alkalmazást jogsértőnek találnak egy adott piacon, ott el lesz távolítva.

 

Szolgáltatásmegtagadással járó támadás (DoS)

Olyan kód, amely a felhasználó tudomása nélkül szolgáltatásmegtagadással járó (DoS) támadást hajt végre, vagy más rendszerek és erőforrások ellen irányuló elosztott szolgáltatásmegtagadó támadásban vesz részt.

Ezt például nagy mennyiségű HTTP-kérés küldésével lehet elérni, ami túlzottan nagy terhelést eredményez a távoli szerveren.

 

Ellenséges letöltők

Olyan kód, amely önmagában nem kártékony, de más potenciálisan kártékony alkalmazásokat tölt le.

A kód ellenséges letöltő lehet, ha:

  • indokoltan feltételezhető, hogy potenciálisan kártékony alkalmazások terjesztésére hozták létre, és le is töltött ilyen alkalmazásokat, vagy olyan kódot tartalmaz, amely letölthet és telepíthet alkalmazásokat; vagy
  • az általa letöltött alkalmazások legalább 5%-a potenciálisan kártékony alkalmazás, és legalább 500 megfigyelt alkalmazásletöltés volt (ez 25 potenciálisan kártékony alkalmazás letöltését jelenti).

Az elterjedtebb böngészők és fájlmegosztó alkalmazások nem minősülnek ellenséges letöltőknek, ha:

  • nem kezdeményeznek letöltéseket felhasználói interakció nélkül; és
  • a potenciálisan kártékony alkalmazások letöltését a beleegyezését adó felhasználó kezdeményezte.

 

Androidra nem veszélyes fenyegetés

Az Androidra nem veszélyes fenyegetést tartalmazó kód.

Ezek az alkalmazások nem tudnak ártani az Android-eszközöknek és felhasználóiknak, de olyan komponenseik vannak, amelyek kártékonyak lehetnek más operációs rendszereken.

 

Adathalászat

Olyan kód, amely úgy tesz, mintha megbízható forrásból származna, elkéri a felhasználó hitelesítési vagy számlázási adatait, majd az adatokat harmadik félnek továbbítja. Ebbe a kategóriába tartoznak azok a kódok is, amelyek a felhasználó hitelesítési adatait továbbítás közben szerzik meg.

Az adathalászat gyakori célpontjai a banki hitelesítési adatok, a hitelkártyaszámok, valamint a közösségi oldalakhoz és online játékokhoz tartozó fiókhitelesítési adatok.

 

Visszaélés magasabb szintű hozzáféréssel

Olyan kód, amely károsítja a rendszer integritását például úgy, hogy megakadályozza az alkalmazásfuttató sandbox megfelelő működését, magasabb szintű rendszerhozzáférésre tesz szert, módosítja vagy letiltja az alapvető biztonsági funkciók hozzáférhetőségét.

Ilyenek például a következők:

  • olyan alkalmazások, amelyek áthágják az Android engedélykezelő rendszerét, vagy hitelesítési adatokat (pl. OAuth-tokeneket) szereznek más alkalmazásoktól;
  • olyan alkalmazások, amelyek saját eltávolításuk vagy leállításuk megakadályozása érdekében visszaélnek bizonyos funkciókkal;
  • olyan alkalmazások, amelyek letiltják a SELinux modult.

Magasabb szintű hozzáférést szerző alkalmazások, amelyek a felhasználó engedélye nélkül rootolják az eszközt – ezeket rootoló alkalmazásoknak nevezzük.

 

Zsarolóprogram

Olyan kód, amely részleges vagy teljes irányítása alá vonja az eszközt vagy az eszközön tárolt adatokat, majd ennek visszavonásáért pénz kifizetésére vagy valamilyen művelet végrehajtására kényszeríti a felhasználót.

Bizonyos zsarolóprogramok titkosítják az eszközön tárolt adatokat, majd pénzt követelnek a titkosítás visszavonásáért, valamint az eszköz rendszergazdai funkcionalitását kihasználva megakadályozhatják, hogy az átlagos ismeretekkel rendelkező felhasználó eltávolítása őket. Ilyenek például a következők:

  • az eszközhöz való hozzáférés megvonása a felhasználótól, majd pénz követelése a hozzáférés visszaállításáért;
  • az eszköz adatainak titkosítása, majd pénz követelése a titkosítás állítólagos megszüntetéséért;
  • az eszköz házirendkezelőjének kihasználása és a felhasználó általi eltávolítás megakadályozása.

Kivételt tehetünk olyan eszközzel együtt terjesztett kódok esetében, melyek elsődleges célja, hogy más felek általi eszközfelügyeletet tegyen lehetővé. A kivétel feltétele, hogy a kód megfeleljen a biztonságos zároláshoz és kezeléshez szükséges követelményeknek, megfelelő tájékoztatást nyújtson a felhasználónak, valamint megfelelő beleegyezést kérjen tőle.

 

Rootolás

Olyan kód, amely rootolja az eszközt.

Különbség van a nem rosszindulatú és a rosszindulatú rootolási kódok között. A nem rosszindulatú rootoló alkalmazások például előre tájékoztatják a felhasználót arról, hogy rootolni fogják az eszközt, és nem hajtanak végre egyéb potenciálisan kártékony kategóriákba tartozó műveletet sem.

A rosszindulatú rootoló alkalmazások nem tájékoztatják előre a felhasználót arról, hogy rootolni fogják az eszközt, vagy tájékoztatják róla, de egyúttal végrehajtanak más kártékony műveleteket is, amelyek egyéb potenciálisan kártékony kategóriákba tartoznak.

 

Spam

Olyan kód, amely kéretlen üzeneteket küld a felhasználó ismerőseinek, vagy a felhasználó eszközét használja fel spamjellegű e-mailek továbbítására.

 

Kémprogram

Olyan kód, amely megfelelő tájékoztatás nyújtása vagy beleegyezés kérése nélkül személyes adatokat továbbít az eszközről.

Például kémprogramnak minősülnek azok a kódok, amelyek tájékoztatás nélkül vagy a felhasználó számára váratlanul továbbítják az alábbi adatok bármelyikét:

  • névjegylista;
  • SD-kártyáról származó fotók vagy más fájlok, továbbá olyan fájlok, amelyek nem az alkalmazás birtokában vannak;
  • a felhasználó e-mailjeinek tartalma;
  • hívásnapló;
  • SMS-előzmények;
  • böngészési előzmények és könyvjelzők az alapértelmezett böngészőből;
  • más alkalmazások /data/ mappáiból származó információk.

Kémprogramként jelölhetünk olyan alkalmazásokat is, amelyek felhasználó utáni kémkedésnek tekinthető műveleteket hajtanak végre. Kémkedésnek minősül például a hangrögzítés, a telefonon lebonyolított hívások rögzítése és az alkalmazások adatainak ellopása.

 

Trójai program

Ártalmatlannak tűnő kód, például egy olyan játék, amely egyegyszerű játéknak tünteti fel magát, de a felhasználó számára nemkívánatos műveleteket hajt végre.

Ezt a besorolást általában a potenciálisan kártékony alkalmazások (PHA) egyéb kategóriával együtt használjuk. A trójai kártevők ártalmatlan részből és rejtett kártékony összetevőből állnak. Ilyen például az a játék, amely a háttérben emelt díjas SMS-eket küld az eszközről, a felhasználó tudta nélkül.

 

Megjegyzés a szokatlan alkalmazásokkal kapcsolatban

Szokatlanként jelölhetjük meg az új és ritka alkalmazásokat, ha a Google Play Protect nem rendelkezik elég információval biztonságos jellegük megállapításához. Ez nem jelenti azt, hogy az alkalmazás mindenképpen kártékony, de további ellenőrzés nélkül nem jelenthető ki róla az sem, hogy biztonságos.

 

Megjegyzés a hátsó ajtó kategóriával kapcsolatban

A rosszindulatú programok „hátsó ajtó” kategóriájába való besorolás a kód viselkedésén alapul. A hátsó ajtóként való besorolás szükséges feltétele, hogy a kód olyan viselkedést tegyen lehetővé, amely automatikus végrehajtás esetén a kódot más fajta rosszindulatú programnak minősítené. Például ha az alkalmazás dinamikus kódbetöltést tesz lehetővé, és a dinamikusan betöltött kód engedély nélkül hozzáfér a szöveges üzenetekhez, akkor hátsó ajtóról beszélünk.

Mindazonáltal ha az alkalmazás ugyan tetszőleges kód végrehajtását teszi lehetővé, de nincs okunk azt feltételezni, hogy ezt a lehetőséget rosszindulatú viselkedés megvalósítása miatt helyezték el, akkor az alkalmazást sebezhetőséggel rendelkező szoftvernek tekintjük, nem pedig hátsó ajtó típusú rosszindulatú programnak – és megkérjük a fejlesztőt, hogy javítsa a sebezhetőséget.

 

Hasznosnak találta?
Hogyan fejleszthetnénk?

További segítségre van szüksége?

Jelentkezzen be a további támogatási lehetőségek igénybevételéhez, hogy gyorsabban megoldhassa a problémát

Keresés
Keresés törlése
A keresés bezárása
Google-alkalmazások
Főmenü
Keresés a Súgóoldalakon
true
92637
false