Googleのマルウェア対策ソリューション「Verify Apps」は、クラウドベースのウイルス対策ツールとほぼ同様の仕組みです。Googleは「Verify Apps」を使用して、Google Play以外のマーケットプレイスからアプリをサイドロードした場合でも、Androidデバイスへの感染ソフトウェアのインストールをブロックします。また、既にデバイスにソフトウェアがインストールされているユーザーには、セキュリティリスクについて警告を表示します。ただし、これは「Verify Apps」が有効になっている場合です。有効になっていない場合、Googleは工夫を凝らす必要があります。
デッドまたは安全でない(DOI)アプリ
一部のユーザーは Verify アプリをオフにしており、また一部のマルウェアはルートアクセスを通じて Verify アプリの機能を無効にできるため、Google は特定のマルウェアが他のデバイスに拡散するのを阻止するための代替ソリューションを見つける必要に迫られました。
Googleは、「アプリの検証」が無効になっているデバイスを「機能していない、または安全でない」(DOI)とみなします。特定のアプリが十分な数のDOIデバイスにインストールされている場合、それらもDOIとみなされます。Googleによると、このDOI指標と他のセキュリティ対策を用いて、特定のアプリがブロックする必要がある「潜在的に有害なアプリ」(PHA)であるかどうかを判断しています。
DOIメトリックの仕組み
デバイスは、アプリの不正アクティビティを定期的に確認する「アプリの確認」サービスを継続して利用している場合、保持されます。アプリの保持率が他のアプリの平均保持率から大きく乖離している場合、そのアプリはDOIアプリとしてフラグ付けされます。
Googleは、アプリケーションがDOIアプリであるかどうかを判断する際に使用する計算式を公開しました。この計算式は、以下の要素に基づいています。
- N = アプリをダウンロードしたデバイスの数。
- x = アプリをダウンロードした保持デバイスの数。
- p = アプリをダウンロードしたデバイスが保持される確率。
上記の式は最終的なZスコア(DOIスコア)を示し、リテンション率の低さとダウンロード数に基づいてアプリをランク付けするために使用されます。リテンション率が低くダウンロード数が多いアプリは、DOIリストのトップに躍り出ます。
GoogleはDOIスコアと他のセキュリティ要素を組み合わせ、アプリをPHAとして分類するかどうかを決定します。その後、「アプリの確認」機能を使用して、アプリの新規インストールを防止し、既にPHAがインストールされているデバイスからPHAをアンインストールします。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
Google によれば、この方式はすでにHummingbad 、Ghost Push 、Gooliganなどのいくつかのマルウェア ファミリーの特定と阻止に役立っているとのことです。
このアプローチにより、Googleはマルウェアに感染したアプリの人気が高まるのを阻止できますが、Googleの監視対象にさえなるには、まず相当数のデバイスに感染させる必要があります。つまり、GoogleのVerifyアプリは、より標的を絞った攻撃を阻止するには不十分、あるいは全く効果がない可能性があります。そこで、サンドボックスの改良とエクスプロイト対策機能、そしてAndroidエコシステムにとって大きな問題となっているアップデートシステムの強化が役立ちます。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
