Анализ и обзор
Прежде чем приложение станет доступным для загрузки в Google Play, мы анализируем и проверяем его и его разработчиков. Используя механизмы автоматического обнаружения (например, машинное обучение) и специалистов-аналитиков, мы прилагаем все усилия, чтобы приложения, появляющиеся в Google Play, не наносили вреда пользователям или их устройствам.
Обзор разработчика
Как разработчик, вы должны согласиться с Соглашением о распространении программных продуктов Google Play, прежде чем сможете отправлять свои приложения в Google Play. Этот контракт представляет собой руководство по поведению, которое мы ожидаем от разработчиков, публикующих приложения в Google Play.
Кроме того, Google Play использует различные методы для проверки соблюдения разработчиками этих политик. Внутренний механизм рисков Google Play анализирует информацию из учетной записи Google разработчика, действия, историю, платежные реквизиты, информацию об устройстве и многое другое. Если обнаруживается что-то подозрительное, мы вручную проверяем транзакции, чтобы убедиться, что разработчик соответствует требованиям.
Внутренняя проверка приложения
Приложения проходят процедуру проверки на соответствие правилам Google Play, прежде чем они станут доступны в Google Play. Google разработал автоматизированный анализатор рисков приложений, который выполняет статический и динамический анализ приложений для обнаружения поведения потенциально вредных приложений (PHA). Когда анализатор рисков приложений Google обнаруживает что-то подозрительное, он помечает приложение и передает его аналитику безопасности для проверки вручную.
Обзор приложения за пределами Google Play
Поскольку мы стараемся защитить пользователей от PHA и мобильного нежелательного программного обеспечения (MUwS) независимо от источника, важно, чтобы наши системы анализировали и собирали данные о как можно большем количестве приложений. О приложениях сообщают исследователи безопасности, пользователи и другие лица, которых мы находим, сканируя Интернет и проверяя установленные приложения с других рынков.
Пользователи могут разрешить Google просматривать новые приложения, включив на своем устройстве функцию «Улучшить обнаружение вредоносных приложений» в Google Play Protect. Включение этой функции помогает Google анализировать больше приложений, и чем больше приложений анализируют наши системы, тем лучше Google Play Protect выявляет и ограничивает влияние PHA для всех устройств.
Машинное обучение
Play Protect использует мощные алгоритмы машинного обучения Google для борьбы с PHA. Системы Google определяют, какие приложения опасны, а какие безопасны, анализируя всю нашу базу данных приложений. Алгоритмы анализируют сотни сигналов и сравнивают поведение в экосистеме Android, чтобы определить, проявляют ли какие-либо приложения подозрительное поведение, например, неожиданным образом взаимодействуют с другими приложениями на устройстве, получают доступ к личным данным или передают их без авторизации, агрессивно устанавливают приложения (включая PHA). ), доступ к вредоносным веб-сайтам или обход встроенных функций безопасности. Эти алгоритмы также помогают нам понять, откуда берутся PHA и как они зарабатывают деньги, чтобы мы могли определить мотивацию приложений такого типа.
Вот некоторые инструменты, которые мы используем, чтобы научить машины определять хорошее и плохое поведение.
Статический анализКод приложения анализируется, функции извлекаются и сравниваются с ожидаемым хорошим поведением и потенциально плохим поведением.
Сторонние отчетыGPP развивает активные отношения с отраслевыми и научными исследователями в области безопасности. Эти исследователи оценивают приложения по-разному и отправляют отзывы о своих выводах.
ПодписиGPP использует подписи для сравнения приложений с базой данных известных вредоносных приложений и уязвимостей.
Отношения с разработчикамиGPP анализирует некодовые функции, чтобы определить возможные связи между приложениями и оценить, был ли разработчик, создавший приложение, связан с созданием PHA.
Динамический анализGPP запускает приложения для определения интерактивного поведения, которое невозможно увидеть с помощью статического анализа. Это позволяет проверяющим выявлять атаки, требующие доступа к серверу и динамической загрузки кода.
Эвристический анализ и анализ подобияGPP сравнивает приложения, чтобы выявить тенденции, идентифицирующие вредоносные приложения.
Защитная сеткаSafetyNet — это сенсорная сеть, обеспечивающая конфиденциальность, которая охватывает экосистему Android и идентифицирует приложения и другие угрозы, которые могут нанести вред устройствам.
Классификация приложений
После анализа приложений GPP классифицирует их по шкале от безопасных до вредных. Приложения и обновления приложений, помеченные как безопасные, переносятся в Google Play. Приложения, помеченные как вредоносные, блокируются. Если алгоритмы проверки неясны, является ли приложение безопасным или вредным, оно помечается как потенциально вредоносное. Члены группы безопасности Android проверяют PHA вручную. Разработчики, сознательно совершающие вредоносные действия, блокируются и больше не могут публиковать приложения в Google Play.
Постоянная защита
GPP продолжает защищать пользователей после того, как они установили приложение, даже если оно загружено не из Google Play. Средства защиты GPP сканируют и анализируют каждое приложение на устройстве.