Анализ и обзор
Прежде чем приложение станет доступным для загрузки в Google Play, мы анализируем и проверяем приложение и его разработчиков. Используя автоматические механизмы обнаружения (например, машинное обучение) и аналитиков, мы делаем все возможное, чтобы приложения, появляющиеся в Google Play, не наносили вреда пользователям или их устройствам.
Обзор разработчика
Как разработчик, вы должны согласиться с Соглашением о распространении для разработчиков Google Play, прежде чем сможете отправлять свои приложения в Google Play. Этот контракт представляет собой руководство по поведению, которое мы ожидаем от разработчиков, публикующих приложения в Google Play.
Кроме того, Google Play использует различные методы для проверки соблюдения разработчиками этих правил. Внутренний механизм управления рисками Google Play анализирует информацию из учетной записи Google разработчика, действия, историю, платежные данные, информацию об устройстве и многое другое. Если обнаруживается что-то подозрительное, мы вручную проверяем транзакции, чтобы убедиться, что разработчик соответствует требованиям.
Внутренний обзор приложения
Приложения проходят процесс проверки, чтобы подтвердить, что они соответствуют политикам Google Play, прежде чем они станут доступны в Google Play. Google разработала автоматизированный анализатор рисков приложений, который выполняет статический и динамический анализ приложений для обнаружения поведения потенциально опасных приложений (PHA). Когда анализатор риска приложений Google обнаруживает что-то подозрительное, он помечает приложение и направляет его аналитику безопасности для ручной проверки.
Проверка приложения за пределами Google Play
Поскольку мы пытаемся защитить пользователей от PHA и мобильного нежелательного ПО (MUwS) независимо от источника, важно, чтобы наши системы анализировали и собирали данные о как можно большем количестве приложений. О приложениях сообщают исследователи безопасности, пользователи и другие лица, которых мы находим, сканируя Интернет и проверяя установленные приложения с других рынков.
Пользователи могут разрешить Google просматривать новые приложения, включив функцию « Улучшить обнаружение вредоносных приложений » в Google Play Protect на своем устройстве. Включение этой функции помогает Google анализировать больше приложений, и чем больше приложений анализирует наша система, тем лучше Google Play Protect определяет и ограничивает влияние PHA на все устройства.
Машинное обучение
Play Protect использует мощные алгоритмы машинного обучения Google для борьбы с PHA. Системы Google узнают, какие приложения опасны, а какие безопасны, анализируя всю нашу базу данных приложений. Алгоритмы анализируют сотни сигналов и сравнивают поведение в экосистеме Android, чтобы определить, проявляют ли какие-либо приложения подозрительное поведение, например, неожиданное взаимодействие с другими приложениями на устройстве, доступ или обмен личными данными без авторизации, агрессивную установку приложений (включая PHA). ), доступ к вредоносным веб-сайтам или обход встроенных функций безопасности. Эти алгоритмы также помогают нам понять, откуда берутся PHA и как они зарабатывают деньги, поэтому мы можем определить мотивацию этих типов приложений.
Вот некоторые из инструментов, которые мы используем, чтобы научить машины определять хорошее и плохое поведение.
Статический анализКод приложения анализируется, функции извлекаются и сравниваются с ожидаемым хорошим поведением и потенциально плохим поведением.
Сторонние отчетыGPP развивает активные отношения с отраслевыми и академическими исследователями в области безопасности. Эти исследователи оценивают приложения различными способами и присылают отзывы о своих выводах.
ПодписиGPP использует сигнатуры для сравнения приложений с базой данных известных вредоносных приложений и уязвимостей.
Отношения разработчиковGPP анализирует функции, не относящиеся к коду, чтобы определить возможные отношения между приложениями и оценить, был ли разработчик, создавший приложение, связан с созданием PHA.
Динамический анализGPP запускает приложения для определения интерактивного поведения, которое невозможно увидеть при статическом анализе. Это позволяет обозревателям выявлять атаки, требующие доступа к серверу и динамической загрузки кода.
Эвристический анализ и анализ подобияGPP сравнивает приложения, чтобы найти тенденции, которые выявляют вредоносные приложения.
Защитная сеткаSafetyNet — это сенсорная сеть, обеспечивающая конфиденциальность, которая охватывает экосистему Android и выявляет приложения и другие угрозы, которые могут нанести вред устройствам.
Классификация приложений
После анализа приложений GPP классифицирует их по шкале от безопасных до вредных. Приложения и обновления приложений, помеченные как безопасные, переносятся в Google Play. Приложения, помеченные как вредоносные, блокируются. Если алгоритмы проверки неясны, является ли приложение безопасным или вредоносным, оно помечается как потенциально опасное. Члены команды безопасности Android проверяют PHA вручную. Разработчики, сознательно совершающие вредоносные действия, забанены и больше не могут публиковать приложения в Google Play.
Постоянная защита
GPP продолжает защищать пользователей после того, как они установили приложение, даже если это приложение было загружено не из Google Play. Средства защиты GPP на устройстве сканируют и анализируют каждое приложение на устройстве.