Система Bouncer является виртуальной копией смартфона на Android. Приложение, требующее проверки, запускается на виртуальной машине и тестируется на вредоносные функции. Google запустил Bouncer в феврале, после серии атак на магазин приложений Android Market, как тогда назывался Google Play.
Вследствие тех атак неизвестные киберпреступники разместили в магазине несколько десятков зараженных приложений, которые похищали персональные данные и отсылали SMS на платные номера.
"На самом деле существует целый ряд уязвимостей, которые позволяют обойти защитные механизмы Bouncer. Некоторые из них легко устранить, а некоторые еще долго будут представлять опасность для магазина Google", - говорит Оберхайд в видеоролике.
Одним из открытых исследователями способов является "обман" системы Bouncer. Перед публикацией в Google Play каждое приложение проходит проверку в этой системе. Для ее "обмана" Оберхайд и Миллер создали тестовое приложение с "обратной связью" - то есть возможностью сообщать владельцам о том, какие действия осуществляются с программой, даже во время ее проверки системой Bouncer.
Исследователи "научили" свою программу различать, в какой Android-смартфон - виртуальный или настоящий - она попала. Если программа опознает виртуальную среду, после установки она не активирует вредоносные функции, если они есть, и не скачивает никакого дополнительного кода из сети. В других случаях программа заражает смартфон.
Исследователи, впрочем, признают, что не менее легко можно избавиться от "простоты" виртуальной машины, то есть сделать ее содержимое более разнообразным и похожим на содержимое настоящего смартфона.
Миллер и Оберхайд также утверждают что обнаружили еще несколько способов выявления виртуальной среды, которые теоретически могут помочь злоумышленникам обойти антивирусную защиту Google Play.
В частности, вирусное приложение можно настроить на определение IP-адресов, принадлежащих Google (если смартфон, в который попала программа, использует их, велика вероятность того, что это тестовое устройство), а также выявление признаков работы ПО для виртуализации. Такой функционал в течение довольно продолжительного времени используется некоторыми троянскими программами для настольных систем, и, по мнению исследователей, ничто не мешает использовать его и в мобильной системе.
Чарли Миллер и Джон Оберхайд уже давно тестируют различные мобильные системы на предмет безопасности. Так, Оберхайд в 2010 году доказал, что даже не вредоносные пиратские копии приложений вроде "обновления" игры Angry Birds или приложение-фотоальбом Twilight photos могут незаметно загружать из сети вредоносный код уже после установки в память устройства и модифицировать себя в опасный троянец.
Миллер - один из самых известных в мире испытателей безопасности системы iOS. В частности, в прошлом году он обнаружил в коде операционной системы iPhone и iPad серьезную уязвимость и тут же лишился лицензии разработчика приложений для Apple. Обнаруженная им уязвимость позволяла загружать из сети и исполнять вредоносный код, даже несмотря на то, что Apple использует специальную технологию "подписанных" строчек кода, которая позволяет разработчикам приложений использовать лишь те программные команды, которые одобрили администраторы Apple. Компания даже выпустила внеочередное обновление, чтобы закрыть обнаруженную Миллером "дыру", хотя обычно она не торопится и выпускает обновления безопасности в пакете с другими обновлениями раз в несколько месяцев.