Rosszindulatú program

Rosszindulatú programokra vonatkozó irányelvünk egyszerű: az Android ökoszisztémája – a Google Play Áruházzal együtt – és a felhasználók eszközei legyenek mentesek mindennemű kártékony viselkedéstől (azaz rosszindulatú programtól). Ezzel az alapelvvel arra törekszünk, hogy biztonságos Android-ökoszisztémát nyújthassunk felhasználóinknak és androidos eszközeiknek.

Rosszindulatú programnak tekintendő minden olyan kód, amely veszélynek teszi ki a felhasználót, a felhasználó adatait vagy a felhasználó eszközét. A rosszindulatú programok közé tartoznak (többek között) az olyan potenciálisan kártékony alkalmazások, futtatható állományok és keretrendszer-módosítások, amelyek például trójai kártevőket, adathalász kísérleteket és kémprogramokat rejtenek. A rosszindulatú programok kategóriáit folyamatosan bővítjük.

A rosszindulatú programok típusuk és képességeik szerint sokfélék lehetnek, de céljaik általában a következők valamelyike:

A felhasználói eszköz integritásának károsítása.
A felhasználó eszköze feletti irányítás megszerzése.
Olyan, távolról irányított műveletek végrehajtásának lehetővé tétele, amelyekkel a támadó hozzáférést kaphat a fertőzött eszközhöz, majd az eszközt irányíthatja, vagy más módon kihasználhatja.
Személyes vagy hitelesítési adatok továbbítása az eszközről megfelelő tájékoztatás nyújtása és beleegyezés kérése nélkül.
Spam vagy parancsok terjesztése a fertőzött eszközről más eszközökre vagy hálózatokra.
A felhasználó megtévesztése és megkárosítása.

Az alkalmazások, futtatható állományok és keretrendszer-módosítások potenciálisan kártékonyak lehetnek – azaz rosszindulatú viselkedést tanúsíthatnak – még akkor is, ha nem rosszindulatú céllal készültek. Ennek oka, hogy az alkalmazások, a futtatható állományok és a keretrendszer-módosítások számos tényezőtől függően sokféle módon működhetnek. Tehát ami az egyik Android-eszközön kártékony, a másikon teljesen ártalmatlan lehet. Például az Android legújabb verzióját futtató eszközökre nem jelentenek veszélyt azok az alkalmazások, amelyek elavult API-k használata miatt kártékony viselkedésre vehetők rá, de a sokkal régebbi Androidot futtató eszközök veszélyben lehetnek. Az alkalmazásokat, a futtatható állományokat és a keretrendszer-módosításokat rosszindulatú programként vagy potenciálisan kártékony alkalmazásként (PHA) jelöljük, ha egyértelműen veszélyt jelentenek az Android-eszközöknek és a felhasználóknak akár csak egy kis részére is.

Lentebb különböző típusú rosszindulatú programokat mutatunk be. Ezt két fő okból tesszük: egyrészt azért, mert meggyőződésünk, hogy a felhasználóknak érdemes tisztában lenniük azzal, hogy eszközeiket miként használhatják ki az esetleges támadók, másrészt pedig azért, hogy ezzel is támogassuk az átfogó innovációt és megbízható felhasználói élményt nyújtó, biztonságos ökoszisztéma kialakulását.

További információt a Google Play Protect webhelyén találsz.

AZ ÖSSZES ÖSSZECSUKÁSA AZ ÖSSZES KIBONTÁSA

Hátsó ajtó

Olyan kód, amely kéretlen, potenciálisan kártékony vagy távolról irányított műveletek végrehajtását teszi lehetővé az eszközön.

Azok a műveletek is ide tartozhatnak, amelyek az alkalmazást, a futtatható állományt vagy a keretrendszer-módosítást a rosszindulatú programok más kategóriájába sorolnák, ha végrehajtásuk automatikus lenne. A hátsó ajtó kifejezés általában arra vonatkozik, hogy a potenciálisan kártékony művelet hogyan történhet meg az eszközön, ezért nem teljesen hasonlítható olyan kategóriákhoz, mint a számlázási csalás vagy a kereskedelmi kémprogramok. A Google Play Protect emiatt bizonyos esetekben sebezhetőségként kezel egyes hátsó ajtókat.

Számlázási csalás

Olyan kód, amely szándékosan csalárd módon és automatikusan terheli meg a felhasználó fizetési módját.

A mobilszámlázási csalásnak három fajtája van: SMS-sel elkövetett, hívással elkövetett, illetve előfizetéses.

SMS-sel elkövetett csalás
Olyan kód, amely a felhasználó beleegyezése nélkül emelt díjas SMS-eket küld, vagy úgy próbálja meg leplezni SMS-küldési tevékenységét, hogy elrejti azokat a beleegyezési nyilatkozatokat vagy SMS-eket a felhasználó elől, amelyekben a mobilszolgáltató értesíti a felhasználót a terhelésekről vagy az előfizetések elfogadásáról.

Bizonyos kódok, még ha gyakorlatilag tájékoztatást is adnak az SMS-küldési viselkedésükről, egyéb viselkedést is megvalósítanak, amely kimeríti az SMS-sel elkövetett csalás fogalmát. Ilyen például, ha a kód olvashatatlanná teszi, elrejti a beleegyezési nyilatkozat egyes részeit a felhasználó elől, vagy ha bizonyos feltételek teljesülése esetén elrejti a mobilszolgáltatótól érkező olyan üzeneteket, amelyek tájékoztatnák a felhasználót a terhelésekről vagy az előfizetések elfogadásáról.

Hívással elkövetett csalás
Olyan kód, amely azzal terheli meg a felhasználók fizetési módját, hogy emelt díjas számokat hív a felhasználók beleegyezése nélkül.

Előfizetéses csalás
Olyan kód, amely ráveszi a felhasználókat arra, hogy mobilszámlájuk terhére előfizetést indítsanak, vagy vásárlást hajtsanak végre.

Előfizetéses csalásnak minősül minden mobilfizetéses csalás, amely nem emelt díjas SMS vagy hívás formáját ölti. Ilyen például a közvetlen mobilszámlázással való visszaélés, valamint a vezeték nélküli hozzáférési pontok (WAP) és a mobilinternet engedély nélküli használata. A WAP-csalás az egyik leggyakoribb előfizetéses csalás. WAP-csalás lehet például az is, ha a felhasználókat ráveszik, hogy egy észrevétlenül betöltött, átlátszó WebView-ra kattintsanak. Kattintás után a rendszer megújuló előfizetést kezdeményez, a támadó pedig gyakran eltéríti a visszaigazoló SMS-t vagy e-mailt, hogy a felhasználó ne vegye észre a pénzügyi tranzakciót.

Stalkerware

Az eszközről személyes vagy bizalmas felhasználói adatot gyűjtő és a gyűjtött adatokat felügyeleti célokra harmadik fél (vállalat vagy más magánszemély) részére továbbító kód.

Az alkalmazásoknak a felhasználói adatokra vonatkozó irányelvek által előírt módon megfelelő, jól láthatóan elhelyezett nyilatkozatot kell közölniük, és beleegyezést kell szerezniük.

A felügyeleti tevékenységet végző alkalmazásokra vonatkozó irányelvek

Kizárólag azok az elfogadható felügyeleti alkalmazások, amelyek egy másik személy felügyeletére szolgálnak, így is kerülnek forgalomba (például szülők számára gyermekük megfigyeléséhez vagy vállalatok irányítása számára az egyes munkavállalók felügyeletéhez), és teljes mértékben megfelelnek az alábbiakban ismertetett követelményeknek. Ezekkel az alkalmazásokkal mások (például házastárs) nem követhető nyomon, még a tudtukkal és a hozzájárulásukkal sem, függetlenül attól, hogy egy folyamatosan látható értesítés jelenik meg. Az ilyen alkalmazásoknak az IsMonitoringTool metadat-jelölőt kell használniuk manifestfájljukban, hogy így megfelelőképpen sorolják be magukat felügyeleti alkalmazásként.

A felügyeleti alkalmazásoknak a következő követelményeknek kell megfelelniük:

Nem tüntethetik fel magukat kémkedést vagy titkos megfigyelést elősegítő megoldásként.
Nem rejthetik el vagy álcázhatják a követési tevékenységüket, és nem vezethetik félre a felhasználókat az ilyen jellegű működésükkel kapcsolatban.
Az alkalmazásoknak működés közben egy folyamatosan látható értesítést és ikont kell megjeleníteni, amely alapján egyértelműen beazonosítható az adott alkalmazás.
A Google Play Áruházban az alkalmazások leírásában közölni kell, hogy az adott alkalmazás felügyeletre vagy nyomon követésre szolgál.
A Google Playen található alkalmazások és áruházi adatlapjaik nem adhatnak módot olyan funkciók aktiválására vagy elérésére, amelyek sértik ezeket a feltételeket. Ilyen például a Google Playen kívül tárolt, nem megfelelő APK-ra mutató hivatkozás.
Az alkalmazásoknak valamennyi vonatkozó jogszabálynak meg kell felelniük. Teljes mértékben a te feladatod, hogy megállapítsd az alkalmazás jogszerűségét a megcélzott országban vagy területen.

További információért olvasd el Az isMonitoringTool jelző használata című súgócikket.

Szolgáltatásmegtagadással járó támadás (DoS)

Olyan kód, amely a felhasználó tudomása nélkül szolgáltatásmegtagadással járó (DoS) támadást hajt végre, vagy más rendszerek és erőforrások ellen irányuló elosztott szolgáltatásmegtagadó támadásban vesz részt.

Ezt például nagy mennyiségű HTTP-kérés küldésével lehet elérni, ami túlzottan nagy terhelést eredményez a távoli szerveren.

Ellenséges letöltők

Olyan kód, amely önmagában nem kártékony, de más potenciálisan kártékony alkalmazásokat tölt le.

A kód ellenséges letöltő lehet, ha:

indokoltan feltételezhető, hogy potenciálisan kártékony alkalmazások terjesztésére hozták létre, és le is töltött ilyen alkalmazásokat, vagy olyan kódot tartalmaz, amely letölthet és telepíthet alkalmazásokat; vagy
az általa letöltött alkalmazások legalább 5%-a potenciálisan kártékony alkalmazás, és legalább 500 megfigyelt alkalmazásletöltés volt (ez 25 potenciálisan kártékony alkalmazás letöltését jelenti).

Az elterjedtebb böngészők és fájlmegosztó alkalmazások nem minősülnek ellenséges letöltőknek, ha:

nem kezdeményeznek letöltéseket felhasználói interakció nélkül; és
a potenciálisan kártékony alkalmazások letöltését a beleegyezését adó felhasználó kezdeményezte.

Androidra nem veszélyes fenyegetés

Az Androidra nem veszélyes fenyegetést tartalmazó kód.

Ezek az alkalmazások nem tudnak ártani az Android-eszközöknek és felhasználóiknak, de olyan komponenseik vannak, amelyek kártékonyak lehetnek más operációs rendszereken.

Adathalászat

Olyan kód, amely úgy tesz, mintha megbízható forrásból származna, elkéri a felhasználó hitelesítési vagy számlázási adatait, majd az adatokat harmadik félnek továbbítja. Ebbe a kategóriába tartoznak azok a kódok is, amelyek a felhasználó hitelesítési adatait továbbítás közben szerzik meg.

Az adathalászat gyakori célpontjai a banki hitelesítési adatok, a hitelkártyaszámok, valamint a közösségi oldalakhoz és online játékokhoz tartozó fiókhitelesítési adatok.

Visszaélés magasabb szintű hozzáféréssel

Olyan kód, amely károsítja a rendszer integritását például úgy, hogy megakadályozza az alkalmazásfuttató sandbox megfelelő működését, magasabb szintű rendszerhozzáférésre tesz szert, módosítja vagy letiltja az alapvető biztonsági funkciók hozzáférhetőségét.

Ilyenek például a következők:

olyan alkalmazások, amelyek áthágják az Android engedélykezelő rendszerét, vagy hitelesítési adatokat (pl. OAuth-tokeneket) szereznek más alkalmazásoktól;
olyan alkalmazások, amelyek saját eltávolításuk vagy leállításuk megakadályozása érdekében visszaélnek bizonyos funkciókkal;
olyan alkalmazások, amelyek letiltják a SELinux modult.

Magasabb szintű hozzáférést szerző alkalmazások, amelyek a felhasználó engedélye nélkül rootolják az eszközt – ezeket rootoló alkalmazásoknak nevezzük.

Zsarolóprogram

Olyan kód, amely részleges vagy teljes irányítása alá vonja az eszközt vagy az eszközön tárolt adatokat, majd ennek visszavonásáért pénz kifizetésére vagy valamilyen művelet végrehajtására kényszeríti a felhasználót.

Bizonyos zsarolóprogramok titkosítják az eszközön tárolt adatokat, majd pénzt követelnek a titkosítás visszavonásáért, valamint az eszköz rendszergazdai funkcionalitását kihasználva megakadályozhatják, hogy az átlagos ismeretekkel rendelkező felhasználó eltávolítása őket. Ilyenek például a következők:

az eszközhöz való hozzáférés megvonása a felhasználótól, majd pénz követelése a hozzáférés visszaállításáért;
az eszköz adatainak titkosítása, majd pénz követelése a titkosítás állítólagos megszüntetéséért;
az eszköz házirendkezelőjének kihasználása és a felhasználó általi eltávolítás megakadályozása.

Kivételt tehetünk olyan eszközzel együtt terjesztett kódok esetében, melyek elsődleges célja, hogy más felek általi eszközfelügyeletet tegyen lehetővé. A kivétel feltétele, hogy a kód megfeleljen a biztonságos zároláshoz és kezeléshez szükséges követelményeknek, megfelelő tájékoztatást nyújtson a felhasználónak, valamint megfelelő beleegyezést kérjen tőle.

Rootolás

Olyan kód, amely rootolja az eszközt.

Különbség van a nem rosszindulatú és a rosszindulatú rootolási kódok között. A nem rosszindulatú rootoló alkalmazások például előre tájékoztatják a felhasználót arról, hogy rootolni fogják az eszközt, és nem hajtanak végre egyéb potenciálisan kártékony kategóriákba tartozó műveletet sem.

A rosszindulatú rootoló alkalmazások nem tájékoztatják előre a felhasználót arról, hogy rootolni fogják az eszközt, vagy tájékoztatják róla, de egyúttal végrehajtanak más kártékony műveleteket is, amelyek egyéb potenciálisan kártékony kategóriákba tartoznak.

Spam

Olyan kód, amely kéretlen üzeneteket küld a felhasználó ismerőseinek, vagy a felhasználó eszközét használja fel spamjellegű e-mailek továbbítására.

Kémprogram

A kémprogram olyan rosszindulatú alkalmazás, kód vagy viselkedés, amely olyan felhasználói vagy eszközadatokat gyűjt, juttat ki vagy oszt meg, amelyek nem a házirendnek megfelelő funkciókhoz kapcsolódnak.

Kémprogramnak minősül az a rosszindulatú kód vagy viselkedés is, amellyel kapcsolatban fontolóra vehető, hogy a felhasználó után kémkedik, vagy pedig megfelelő értesítés vagy beleegyezés nélkül juttat ki adatokat.

Kémprogrammal való irányelvsértés többek között például a következő:

A hangrögzítés, a telefonon lebonyolított hívások rögzítése
Az alkalmazások adatainak ellopása
A rosszindulatú, harmadik féltől származó kódot (például SDK-t) tartalmazó alkalmazás, amely a felhasználó számára váratlan módon és/vagy a felhasználó megfelelő értesítése vagy beleegyezése nélkül továbbít adatot az eszközről.

Valamennyi alkalmazásnak meg kell felelnie továbbá minden Google Play Fejlesztői Programszabályzatnak, így például a felhasználói és az eszközadatokra vonatkozó irányelveknek, például a nemkívánatos mobilszoftverekre, a felhasználói adatokra, az engedélyekre és a bizalmas információhoz hozzáférő API-kra vonatkozó irányelvnek, továbbá az SDK-követelményeknek.

Trójai program

Ártalmatlannak tűnő kód, például egy olyan játék, amely egyegyszerű játéknak tünteti fel magát, de a felhasználó számára nemkívánatos műveleteket hajt végre.

Ezt a besorolást általában a potenciálisan kártékony alkalmazások (PHA) egyéb kategóriával együtt használjuk. A trójai kártevők ártalmatlan részből és rejtett kártékony összetevőből állnak. Ilyen például az a játék, amely a háttérben emelt díjas SMS-eket küld az eszközről, a felhasználó tudta nélkül.

Megjegyzés a szokatlan alkalmazásokkal kapcsolatban

Szokatlanként jelölhetjük meg az új és ritka alkalmazásokat, ha a Google Play Protect nem rendelkezik elég információval biztonságos jellegük megállapításához. Ez nem jelenti azt, hogy az alkalmazás mindenképpen kártékony, de további ellenőrzés nélkül nem jelenthető ki róla az sem, hogy biztonságos.

Megjegyzés a hátsó ajtó kategóriával kapcsolatban

A rosszindulatú programok „hátsó ajtó” kategóriájába való besorolás a kód viselkedésén alapul. A hátsó ajtóként való besorolás szükséges feltétele, hogy a kód olyan viselkedést tegyen lehetővé, amely automatikus végrehajtás esetén a kódot más fajta rosszindulatú programnak minősítené. Például ha az alkalmazás dinamikus kódbetöltést tesz lehetővé, és a dinamikusan betöltött kód engedély nélkül hozzáfér a szöveges üzenetekhez, akkor hátsó ajtóról beszélünk.

Mindazonáltal ha az alkalmazás ugyan tetszőleges kód végrehajtását teszi lehetővé, de nincs okunk azt feltételezni, hogy ezt a lehetőséget rosszindulatú viselkedés megvalósítása miatt helyezték el, akkor az alkalmazást sebezhetőséggel rendelkező szoftvernek tekintjük, nem pedig hátsó ajtó típusú rosszindulatú programnak – és megkérjük a fejlesztőt, hogy javítsa a sebezhetőséget.

Maszkolóprogram (maskware)

Olyan alkalmazás, amely különböző kijátszási technikákat alkalmaz annak érdekében, hogy a felhasználónak más vagy hamis alkalmazási funkciókat kínáljon. Ezek az alkalmazások legitim alkalmazásoknak vagy játékoknak álcázzák magukat, hogy ártalmatlannak tűnjenek az alkalmazásboltok számára, és olyan technikákat használnak, mint az érthetetlenné tétel (obfuszkálás), a dinamikus kódbetöltés vagy az álcázás, hogy szabadon engedjék a rosszindulatú tartalmat.

A maszkolóprogram (maskware) hasonló más PHA-kategóriákhoz, különösen a trójaiakhoz; a fő különbség a rosszindulatú tevékenység obfuszkálására használt technikákban rejlik.

Hasznosnak találta?

Hogyan fejleszthetnénk?